Vulnerabilidad en MatrixSSL (CVE-2022-43974)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
09/01/2023
Última modificación:
06/03/2025
Descripción
MatrixSSL 4.0.4 a 4.5.1 tiene un desbordamiento de enteros en MatrixSslDecodeTls13. Un atacante remoto podría enviar un mensaje TLS manipulado para provocar un desbordamiento del búfer y lograr la ejecución remota de código. Esto se solucionó en 4.6.0.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:matrixssl:matrixssl:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.6.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/matrixssl/matrixssl/blob/4-6-0-open/doc/CHANGES_v4.x.md
- https://github.com/matrixssl/matrixssl/security/advisories/GHSA-fmwc-gwc5-2g29
- https://www.telekom.com/en/company/data-privacy-and-security/news/advisories-504842
- https://github.com/matrixssl/matrixssl/blob/4-6-0-open/doc/CHANGES_v4.x.md
- https://github.com/matrixssl/matrixssl/security/advisories/GHSA-fmwc-gwc5-2g29
- https://www.telekom.com/en/company/data-privacy-and-security/news/advisories-504842