BDU:2023-08315: Уязвимость сервера uC-HTTP, связанная с записью за границами буфера, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость сервера uC-HTTP связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного HTTP-запроса
Вендор Silicon Labs, Weston Embedded
Наименование ПО Gecko Platform, uC-HTTP, Cesium NET
Версия ПО 4.3.1.0 (Gecko Platform), 3.01.01 (uC-HTTP), 3.07.01 (Cesium NET)
Тип ПО Прикладное ПО информационных систем, ПО сетевого программно-аппаратного средства, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Переполнение буфера в куче, Запись за границами буфера
Идентификатор типа ошибки CWE-122, CWE-787
Класс уязвимости Уязвимость кода
Дата выявления 14.11.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до актуальной версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются