Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04690

Опубликовано: 21 сент. 2020
Источник: fstec
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость конструктора VDasher библиотеки для воспроизведения Lottie анимаций Rlottie связана с ошибками преобразования типов данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным с помощью вредоносного анимированного стикера

Вендор

Сообщество свободного программного обеспечения
Samsung Electronics

Наименование ПО

Debian GNU/Linux
Rlottie

Версия ПО

9 (Debian GNU/Linux)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
до 7.1.0 (Rlottie)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Для Rlottie:
использование рекомендаций производителя: https://www.shielder.it/advisories/telegram-rlottie-vdasher-vdasher-type-confusion/
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-31317

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00265
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-31317

CVSS3: 5.5
ubuntu
больше 4 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Type Confusion in the VDasher constructor of their custom fork of the rlottie library. A remote attacker might be able to access Telegram's heap memory out-of-bounds on a victim device via a malicious animated sticker.

nvd логотип

CVE-2021-31317

CVSS3: 5.5
nvd
больше 4 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Type Confusion in the VDasher constructor of their custom fork of the rlottie library. A remote attacker might be able to access Telegram's heap memory out-of-bounds on a victim device via a malicious animated sticker.

debian логотип

CVE-2021-31317

CVSS3: 5.5
debian
больше 4 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS ...

github логотип

GHSA-xf3x-92j4-vrpc

github
больше 3 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Type Confusion in the VDasher constructor of their custom fork of the rlottie library. A remote attacker might be able to access Telegram's heap memory out-of-bounds on a victim device via a malicious animated sticker.

EPSS

Процентиль: 50%
0.00265
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2