Pasar al contenido principal

Fecha de publicación: 01/02/2022

Importancia:Crítica

Recursos afectados:

  • Gerbv 2.7.0;
  • Gerbv forked 2.7.1;
  • Gerbv forked 2.8.0;
  • Gerbv dev (commit b5f1eacd).

Descripción:

Claudio Bozzato, de Cisco Talos, ha descubierto 2 vulnerabilidades en productos de Gerbv: 1 de severidad crítica y 1 media, que podrían permitir a un atacante realizar una ejecución de código y divulgación de información.

Solución:

Aplicar los cambios como se indican en los enlaces de referencias.

Detalle:

Existe una vulnerabilidad use-after-free en la funcionalidad de tokenización de la definición de apertura RS-274X de Gerbv 2.7.0 y dev (commit b5f1eacd), así como Gerbv forked 2.7.1. Un archivo gerber especialmente diseñado podría llevar a la ejecución de código. Se ha asignado el identificador CVE-2021-40401 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-40403.

Encuesta valoración

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad

Compartir

Compartir en Linkedin