Vulnerabilidad en KiTTY (CVE-2024-25004)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
09/02/2024
Última modificación:
14/02/2024
Descripción
Las versiones de KiTTY 0.76.1.13 y anteriores son vulnerables a un desbordamiento de búfer en la región stack de la memoria a través del nombre de usuario, que se produce debido a una verificación de los límites y una sanitización de entrada insuficientes (en la línea 2600). Esto permite a un atacante sobrescribir la memoria adyacente, lo que conduce a la ejecución de código arbitrario.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:9bis:kitty:*:*:*:*:*:windows:*:* | 0.76.1.13 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/177031/KiTTY-0.76.1.13-Command-Injection.html
- http://packetstormsecurity.com/files/177032/KiTTY-0.76.1.13-Buffer-Overflows.html
- http://seclists.org/fulldisclosure/2024/Feb/13
- http://seclists.org/fulldisclosure/2024/Feb/14
- https://blog.defcesco.io/CVE-2024-25003-CVE-2024-25004