CVE-2024-25110
Azure IoT Platform Device SDK Remote Code Execution Vulnerability
Em resumo
Uma falha na alocação de memória no SDK de Dispositivos do Azure IoT causa uma vulnerabilidade de uso após liberação, permitindo que atacantes executem código arbitrário em dispositivos afetados durante a comunicação de conexão.
Detalhe técnico
A falha CWE-94 ocorre quando a função open_get_offered_capabilities falha na alocação de memória durante a negociação da conexão AMQP 1.0, resultando em acesso a memória já liberada. Atacantes remotos podem disparar essa condição sem autenticação para executar código arbitrário no dispositivo cliente. A correção requer atualização para o commit 30865c9c ou posterior.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The UAMQP is a general purpose C library for AMQP 1.0. During a call to open_get_offered_capabilities, a memory allocation may fail causing a use-after-free issue and if a client called it during connection communication it may cause a remote code execution. Users are advised to update the submodule with commit `30865c9c`. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Azure · azure-uamqp-cQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →