Vulnerabilidad en sprintf (CVE-2023-25139)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
03/02/2023
Última modificación:
26/03/2025
Descripción
sprintf en la librería GNU C (glibc) 2.37 tiene un desbordamiento del búfer (escritura fuera de los límites) en algunas situaciones con un tamaño de búfer correcto. Esto no tiene relación con CWE-676. Puede escribir más allá de los límites del búfer de destino cuando intenta escribir una representación de cadena rellenada y separada por miles de un número, si al búfer se le asigna el tamaño exacto requerido para representar ese número como una cadena. Por ejemplo, 1.234.567 (con relleno de 13) se desborda en dos bytes.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:glibc:2.37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/02/10/1
- https://security.netapp.com/advisory/ntap-20230302-0010/
- https://sourceware.org/bugzilla/show_bug.cgi?id=30068
- http://www.openwall.com/lists/oss-security/2023/02/10/1
- https://security.netapp.com/advisory/ntap-20230302-0010/
- https://sourceware.org/bugzilla/show_bug.cgi?id=30068