Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Moonlight (CVE-2023-42800)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-120 Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico)
Fecha de publicación:
14/12/2023
Última modificación:
21/12/2023

Descripción

Moonlight-common-c contiene el código principal del cliente GameStream compartido entre los clientes Moonlight. Moonlight-common-c es vulnerable al desbordamiento del búfer a partir de el commit 50c0a51b10ecc5b3415ea78c21d96d679e2288f9 debido al uso absoluto de funciones C inseguras y a una verificación de límites inadecuada. Un servidor de transmisión de juegos malicioso podría aprovechar una vulnerabilidad de desbordamiento del búfer para bloquear un cliente de luz nocturna o lograr la ejecución remota de código (RCE) en el cliente (con mitigaciones de explotación insuficientes o si se pueden evitar las mitigaciones). El error se solucionó en el commit 24750d4b748fefa03d09fcfd6d45056faca354e0.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.80
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:moonlight-stream:moonlight-common-c:*:*:*:*:*:*:*:* 2022-11-04 (incluyendo) 2023-10-06 (excluyendo)
cpe:2.3:a:moonlight-stream:moonlight:*:*:*:*:*:iphone_os:*:* 8.4.0 (incluyendo) 8.5.0 (incluyendo)
cpe:2.3:a:moonlight-stream:moonlight:*:*:*:*:*:tvos:*:* 8.4.0 (incluyendo) 8.5.0 (incluyendo)
cpe:2.3:a:moonlight-stream:moonlight:*:*:*:*:*:android:*:* 10.10 (incluyendo) 11.0 (incluyendo)
cpe:2.3:a:moonlight-stream:moonlight:0.10.22:*:*:*:*:chrome:*:*
cpe:2.3:a:moonlight-stream:moonlight_embedded:2.6.0:*:*:*:*:*:*:*
cpe:2.3:a:moonlight-stream:moonlight_xbox:*:*:*:*:*:*:*:* 1.12.0 (incluyendo) 1.14.40 (incluyendo)
cpe:2.3:a:moonlight-stream:moonlight_tv:*:*:*:*:*:*:*:* 1.5.4 (incluyendo) 1.5.27 (incluyendo)
cpe:2.3:a:moonlight-stream:moonlight_switch:*:*:*:*:*:*:*:* 0.13 (incluyendo) 0.13.3 (incluyendo)
cpe:2.3:a:moonlight-stream:moonlight_vita:*:*:*:*:*:*:*:* 0.9.2 (incluyendo) 0.9.3 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información