Vulnerabilidad en Fast DDS (CVE-2023-42459)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-415
Doble liberación
Fecha de publicación:
16/10/2023
Última modificación:
11/04/2025
Descripción
Fast DDS es una implementación en C++ del estándar DDS (Servicio de Distribución de Datos) de OMG (Object Management Group). En las versiones afectadas, se pueden enviar submensajes de DATOS específicos a un localizador de descubrimiento que puede provocar un error free. Esto puede bloquear de forma remota cualquier proceso Fast-DDS. La llamada a free() podría potencialmente dejar el puntero en el control del atacante, lo que podría conducir a un doble free. Este problema se solucionó en las versiones 2.12.0, 2.11.3, 2.10.3 y 2.6.7. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eprosima:fast_dds:*:*:*:*:*:*:*:* | 2.6.7 (excluyendo) | |
| cpe:2.3:a:eprosima:fast_dds:*:*:*:*:*:*:*:* | 2.10.0 (incluyendo) | 2.10.3 (excluyendo) |
| cpe:2.3:a:eprosima:fast_dds:*:*:*:*:*:*:*:* | 2.11.0 (incluyendo) | 2.11.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/eProsima/Fast-DDS/issues/3207
- https://github.com/eProsima/Fast-DDS/pull/3824
- https://github.com/eProsima/Fast-DDS/security/advisories/GHSA-gq8g-fj58-22gm
- https://www.debian.org/security/2023/dsa-5568
- https://github.com/eProsima/Fast-DDS/issues/3207
- https://github.com/eProsima/Fast-DDS/pull/3824
- https://github.com/eProsima/Fast-DDS/security/advisories/GHSA-gq8g-fj58-22gm
- https://www.debian.org/security/2023/dsa-5568