Vulnerabilidad en libpcap de The Tcpdump Group (CVE-2025-11961)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-122 Desbordamiento de búfer basado en memoria dinámica (Heap)

Fecha de publicación:

31/12/2025

Última modificación:

31/12/2025

Descripción

pcap_ether_aton() es una función auxiliar en libpcap, toma un argumento de cadena y devuelve un búfer asignado de tamaño fijo. El argumento de cadena debe ser una dirección MAC-48 bien formada en uno de los formatos admitidos, pero este requisito ha sido mal documentado. Si una aplicación llama a la función con un argumento que se desvía del formato esperado, la función puede leer datos más allá del final de la cadena proporcionada y escribir datos más allá del final del búfer asignado.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 1.90 BAJA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

1.90

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://github.com/the-tcpdump-group/libpcap/commit/b2d2f9a9a0581c40780bde509f7cc715920f1c02