Fecha de publicación: 01/02/2022
Importancia:Crítica
Recursos afectados:
- Gerbv 2.7.0;
- Gerbv forked 2.7.1;
- Gerbv forked 2.8.0;
- Gerbv dev (commit b5f1eacd).
Descripción:
Claudio Bozzato, de Cisco Talos, ha descubierto 2 vulnerabilidades en productos de Gerbv: 1 de severidad crítica y 1 media, que podrían permitir a un atacante realizar una ejecución de código y divulgación de información.
Solución:
Aplicar los cambios como se indican en los enlaces de referencias.
Detalle:
Existe una vulnerabilidad use-after-free en la funcionalidad de tokenización de la definición de apertura RS-274X de Gerbv 2.7.0 y dev (commit b5f1eacd), así como Gerbv forked 2.7.1. Un archivo gerber especialmente diseñado podría llevar a la ejecución de código. Se ha asignado el identificador CVE-2021-40401 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-40403.
Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad