Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-37454

Опубликовано: 21 окт. 2022
Источник: nvd
CVSS3: 9.8
EPSS Низкий

Уязвимость целочисленного переполнения и переполнения буфера в реализации Sponge-функции Keccak XKCP SHA-3, позволяющая выполнить произвольный код

Описание

В референсной реализации Keccak XKCP SHA-3 до коммита fdc6fef обнаружена уязвимость, связанная с целочисленным переполнением и последующим переполнением буфера. Эта уязвимость в интерфейсе функции sponge позволяет злоумышленникам выполнить произвольный код или нарушить ожидаемые криптографические свойства алгоритма.

Затронутые версии ПО

  • Keccak XKCP SHA-3 до fdc6fef

Тип уязвимости

  • Целочисленное переполнение
  • Переполнение буфера
  • Выполнение произвольного кода
  • Нарушение криптографических свойств

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:extended_keccak_code_package_project:extended_keccak_code_package:-:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
Версия от 7.2.0 (включая) до 7.4.33 (исключая)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.0.25 (исключая)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
Версия от 8.1.0 (включая) до 8.1.12 (исключая)
Конфигурация 5

Одно из

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.6.0 (включая) до 3.7.16 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.8.0 (включая) до 3.8.16 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.9.0 (включая) до 3.9.16 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.10.0 (включая) до 3.10.9 (исключая)
Конфигурация 6
cpe:2.3:a:sha3_project:sha3:*:*:*:*:*:ruby:*:*
Версия до 1.0.5 (исключая)
Конфигурация 7
cpe:2.3:a:pysha3_project:pysha3:*:*:*:*:*:*:*:*
Конфигурация 8
cpe:2.3:a:pypy:pypy:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая)

EPSS

Процентиль: 78%
0.01202
Низкий

9.8 Critical

CVSS3

Дефекты

CWE-190
CWE-190

Связанные уязвимости

ubuntu логотип

CVE-2022-37454

CVSS3: 9.8
ubuntu
больше 2 лет назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.

redhat логотип

CVE-2022-37454

CVSS3: 8.1
redhat
больше 2 лет назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.

msrc логотип

CVE-2022-37454

CVSS3: 9.8
msrc
больше 2 лет назад

Описание отсутствует

debian логотип

CVE-2022-37454

CVSS3: 9.8
debian
больше 2 лет назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an i ...

github логотип

GHSA-6w4m-2xhg-2658

CVSS3: 9.8
github
около 2 лет назад

Buffer overflow in sponge queue functions

EPSS

Процентиль: 78%
0.01202
Низкий

9.8 Critical

CVSS3

Дефекты

CWE-190
CWE-190