Vulnerabilidad en TinyXML (CVE-2023-34194)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
13/12/2023
Última modificación:
12/01/2024
Descripción
StringEqual en TiXmlDeclaration::Parse en tinyxmlparser.cpp en TinyXML hasta 2.6.2 tiene una aserción accesible (y una salida de la aplicación) a través de un documento XML manipulado con un '\0' ubicado después del espacio en blanco.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tinyxml_project:tinyxml:*:*:*:*:*:*:*:* | 2.6.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.debian.org/debian-lts-announce/2023/12/msg00024.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4QCR5PIOBGDIDS6SYRESTMDJSEDFSCOE/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HOMBSHRIW5Q34SQSXYURYAOYDZD2NQF6/
- https://sourceforge.net/p/tinyxml/git/ci/master/tree/tinyxmlparser.cpp
- https://www.forescout.com/resources/sierra21-vulnerabilities