Vulnerabilidad en la función memmove() en lz4 (CVE-2021-3520)
Severidad:
CRÍTICA
Type:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
02/06/2021
Última modificación:
06/06/2024
Descripción
Se presenta un fallo en lz4. Un atacante que envíe un archivo diseñado hacia una aplicación enlazada con lz4 puede ser capaz de desencadenar un desbordamiento de enteros, conllevando una llamada de la función memmove() con un argumento de tamaño negativo, causando una escritura fuera de límites y/o un bloqueo. El mayor impacto de este fallo es en la disponibilidad, con algún impacto potencial en la confidencialidad e integridad también
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Severidad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lz4_project:lz4:*:*:*:*:*:*:*:* | 1.8.3 (incluyendo) | 1.9.4 (excluyendo) |
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
| cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_cloud_native_core_policy:1.14.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:zfs_storage_appliance_kit:8.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.12 (excluyendo) |
| cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.0.6 (excluyendo) |
| cpe:2.3:a:splunk:universal_forwarder:9.1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página