CVE-2020-28622

CVSS 10 CRITICALEPSS 2.2%CWE-129

En resumen

Una falla en el análisis de polígonos de la biblioteca CGAL permite que atacantes bloqueen la aplicación o ejecuten código arbitrario mediante un archivo malformado especialmente elaborado. La vulnerabilidad ocurre cuando el analizador lee datos más allá de los límites de memoria, confundiendo cómo el programa interpreta los tipos de datos.

Detalle técnico

Una vulnerabilidad de lectura fuera de límites en CGAL-5.1.1 (SNC_io_parser.h) en el módulo Nef permite ejecución remota de código a través de archivos de geometría malformados. El vector de ataque requiere que la víctima procese datos de polígonos no confiables; la confusión de tipos resultante de la lectura fuera de límites habilita ejecución arbitraria de código con privilegios del proceso analizador.

Resumen generado y traducido por IA a partir de la descripción oficial.

Multiple code execution vulnerabilities exists in the Nef polygon-parsing functionality of CGAL libcgal CGAL-5.1.1. A specially crafted malformed file can lead to an out-of-bounds read and type confusion, which could lead to code execution. An attacker can provide malicious input to trigger any of these vulnerabilities. An oob read vulnerability exists in Nef_S2/SNC_io_parser.h SNC_io_parser<EW>::read_edge() eh->incident_sface().

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Productos afectados

CGAL Project · libcgal

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.debian.org/debian-lts-announce/2022/12/msg00011.html https://security.gentoo.org/glsa/202305-34 https://talosintelligence.com/vulnerability_reports/TALOS-2020-1225