Informazioni sul CVE-2022-35926
Out-of-bounds read in IPv6 neighbor solicitation in Contiki-NG
CWE ID: CWE-125
Base Score (CVSS): N/A
CVE: CVE-2022-35926
Descrizione: Contiki-NG is an open-source, cross-platform operating system for IoT devices. Because of insufficient validation of IPv6 neighbor discovery options in Contiki-NG, attackers can send neighbor solicitation packets that trigger an out-of-bounds read. The problem exists in the module os/net/ipv6/uip-nd6.c, where memory read operations from the main packet buffer, uip_buf, are not checked if they go out of bounds. In particular, this problem can occur when attempting to read the 2-byte option header and the Source Link-Layer Address Option (SLLAO). This attack requires ipv6 be enabled for the network. The problem has been patched in the develop branch of Contiki-NG. The upcoming 4.8 release of Contiki-NG will include the patch.Users unable to upgrade may apply the patch in Contiki-NG PR #1654.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/contiki-ng/contiki-ng/releases/tag/release%2Fv4.8
- https://github.com/contiki-ng/contiki-ng/security/advisories/GHSA-4hpq-4f53-w386
- https://github.com/contiki-ng/contiki-ng/pull/1654
- https://github.com/contiki-ng/contiki-ng/pull/1654/commits/a4597001d50a04f4b9c78f323ba731e2f979802c
Prodotti interessati
- contiki-ng – contiki-ng
Relazioni con altri prodotti
Produttore:contiki-ng
Prodotto: contiki-ng
Anno: 2022
CWE: CWE-125
CVSS: 0.0