Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en "Vec::from_iter" en crossbeam-channel (CVE-2020-15254)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-119 Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
16/10/2020
Última modificación:
17/06/2026

Descripción

Crossbeam es un conjunto de herramientas para programación concurrente. En crossbeam-channel versiones anteriores a 0.4.4, el canal acotado asume inapropiadamente que "Vec::from_iter" ha asignado una capacidad igual a la cantidad de elementos iteradores. "Vec::from_iter" en realidad no garantiza eso y puede asignar memoria extra. El destructor del canal "bounded" reconstruye "Vec" a partir del puntero sin procesar basándose en los supuestos incorrectos descritos anteriormente. Esto no es correcto y causa una desasignación con la capacidad incorrecta cuando "VVec::from_iter" ha asignado diferentes tamaños con el número de elementos del iterador. Esto ha sido corregido en crossbeam-channel versión 0.4.4

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:crossbeam_project:crossbeam:*:*:*:*:*:*:*:* 0.4.4 (excluyendo)