CVE-2019-19945

Опубликовано: 16 мар. 2020

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

uhttpd in OpenWrt through 18.06.5 and 19.x through 19.07.0-rc2 has an integer signedness error. This leads to out-of-bounds access to a heap buffer and a subsequent crash. It can be triggered with an HTTP POST request to a CGI script, specifying both "Transfer-Encoding: chunked" and a large negative Content-Length value.

Ссылки

https://github.com/openwrt/openwrt/commits/master
Patch
Third Party Advisory
https://openwrt.org/advisory/2020-01-13-1
Vendor Advisory
https://github.com/openwrt/openwrt/commits/master
Patch
Third Party Advisory
https://openwrt.org/advisory/2020-01-13-1
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:openwrt:openwrt:*:*:*:*:*:*:*:*

Версия от 18.06.0 (включая) до 18.06.5 (включая)

cpe:2.3:o:openwrt:openwrt:19.07.0:-:*:*:*:*:*:*

cpe:2.3:o:openwrt:openwrt:19.07.0:rc1:*:*:*:*:*:*

cpe:2.3:o:openwrt:openwrt:19.07.0:rc2:*:*:*:*:*:*

EPSS

Процентиль: 76%

0.00975

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-125

Связанные уязвимости

GHSA-v643-533g-6c85

CVSS3: 7.5

github

около 3 лет назад

BDU:2020-03444

CVSS3: 7.5

fstec

больше 5 лет назад

Уязвимость функции uhttpd встраиваемой операционной системы OpenWrt, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 76%

0.00975

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-125