CVE-2024-25110
Azure IoT Platform Device SDK Remote Code Execution Vulnerability
En resumen
Una falla en la asignación de memoria en el SDK de Dispositivos de Azure IoT causa una vulnerabilidad de uso después de liberación, permitiendo que atacantes ejecuten código arbitrario en dispositivos afectados durante la comunicación de conexión.
Detalle técnico
La debilidad CWE-94 ocurre cuando la función open_get_offered_capabilities falla en la asignación de memoria durante la negociación de conexión AMQP 1.0, resultando en acceso a memoria ya liberada. Atacantes remotos pueden disparar esta condición sin autenticación para ejecutar código arbitrario en el dispositivo cliente. La mitigación requiere actualizar al commit 30865c9c o posterior.
Resumen generado y traducido por IA a partir de la descripción oficial.
The UAMQP is a general purpose C library for AMQP 1.0. During a call to open_get_offered_capabilities, a memory allocation may fail causing a use-after-free issue and if a client called it during connection communication it may cause a remote code execution. Users are advised to update the submodule with commit `30865c9c`. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Azure · azure-uamqp-c¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →