Vulnerabilidad en zlog 1.2.16 (CVE-2024-22857)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-122
Desbordamiento de búfer basado en memoria dinámica (Heap)
Fecha de publicación:
07/03/2024
Última modificación:
27/08/2024
Descripción
zlog 1.2.16 tiene un desbordamiento de búfer de almacenamiento dinámico en la estructura zlog_rule_s mientras crea una nueva regla que ya está definida en el archivo de configuración proporcionado. Un usuario normal puede lograr la ejecución de código arbitrario.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/HardySimpson/zlog/
- https://github.com/HardySimpson/zlog/blob/1a7b1a6fb956b92a4079ccc91f30da21f34ca063/src/rule.h#L30
- https://github.com/HardySimpson/zlog/pull/251
- https://www.cybersecurity-help.cz/vdb/SB2024022842
- https://www.ebryx.com/blogs/arbitrary-code-execution-in-zlog-cve-2024-22857