Vulnerabilidad en FreeRDP (CVE-2023-39351)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
31/08/2023
Última modificación:
03/11/2025
Descripción
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto (RDP), publicado bajo la licencia Apache. Las versiones afectadas de FreeRDP están sujetas a una desreferencia de puntero nulo que provoca un fallo en el manejo de RemoteFX (rfx). Dentro de la función 'rfx_process_message_tileset', el programa asigna mosaicos utilizando 'rfx_allocate_tiles' para el número de numTiles. Si el proceso de inicialización de los mosaicos no se completa por varias razones, los mosaicos tendrán un puntero NULL. El cual podría ser accedido en un procesamiento posterior y causaría un fallo del programa. Este problema ha sido abordado en las versiones 2.11.0 y 3.0.0-beta3. Se aconseja a los usuarios que actualicen. No existen soluciones alternativas conocidas para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:freerdp:freerdp:*:*:*:*:*:*:*:* | 2.11.0 (excluyendo) | |
| cpe:2.3:a:freerdp:freerdp:3.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:freerdp:freerdp:3.0.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-q9x9-cqjc-rgwq
- https://lists.debian.org/debian-lts-announce/2023/10/msg00008.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A6LLDAPEXRDJOM3PREDDD267SSNT77DP/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IHMTGKCZXJPQOR5ZD2I4GPDNP2DKRXMF/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OH2ATH2BKDNKCJAU4WPPXK4SHLE3UJUV/
- https://security.gentoo.org/glsa/202401-16
- https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-q9x9-cqjc-rgwq
- https://lists.debian.org/debian-lts-announce/2023/10/msg00008.html
- https://lists.debian.org/debian-lts-announce/2025/02/msg00016.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A6LLDAPEXRDJOM3PREDDD267SSNT77DP/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IHMTGKCZXJPQOR5ZD2I4GPDNP2DKRXMF/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OH2ATH2BKDNKCJAU4WPPXK4SHLE3UJUV/
- https://security.gentoo.org/glsa/202401-16