Vulnerabilidad en WebKitGTK, contiene un problema de corrupción de memoria (CVE-2020-10018)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
02/03/2020
Última modificación:
07/11/2023
Descripción
WebKitGTK hasta la versión 2.26.4 y WPE WebKit hasta la versión 2.26.4 (que son las versiones anteriores a la versión 2.28.0) contiene un problema de corrupción de memoria (use-after-free) que puede conducir a la ejecución de código arbitrario. Este problema se ha solucionado en 2.28.0 con un manejo mejorado de la memoria.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:webkitgtk:webkitgtk:*:*:*:*:*:*:*:* | 2.28.0 (excluyendo) | |
| cpe:2.3:a:wpewebkit:wpe_webkit:*:*:*:*:*:*:*:* | 2.28.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00008.html
- https://bugs.webkit.org/show_bug.cgi?id=204342#c21
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DOR5LPL4UASVAR76EIHCL4O2KGDWGC6K/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GLERWAS2LL7SX2GHA2DDZ2PL3QC5OHIF/
- https://security.gentoo.org/glsa/202006-08
- https://usn.ubuntu.com/4310-1/
- https://webkitgtk.org/security/WSA-2020-0003.html
- https://wpewebkit.org/security/WSA-2020-0003.html
- https://www.debian.org/security/2020/dsa-4641