CRITICAL🇬🇧 English

CVE-2023-45318

Heap-based buffer overflow w serwerze HTTP biblioteki uC-HTTP — RCE

CVSS 10.0v3.1pub. 2024-02-20upd. 2025-11-04

W funkcjonalności serwera HTTP biblioteki Weston Embedded uC-HTTP (commit 80d4004) wykryto podatność typu heap-based buffer overflow, umożliwiającą zdalne wykonanie kodu. Podatność posiada maksymalny wynik CVSS 10.0 i nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

A heap-based buffer overflow vulnerability exists in the HTTP Server functionality of Weston Embedded uC-HTTP git commit 80d4004. A specially crafted network packet can lead to arbitrary code execution. An attacker can send a malicious packet to trigger this vulnerability.

🤖 Analiza AI
Jak działa

Atakujący przesyła specjalnie spreparowany pakiet sieciowy do serwera HTTP opartego na bibliotece uC-HTTP. Pakiet ten powoduje przepełnienie bufora na stercie (heap-based buffer overflow), co odpowiada klasyfikacjom CWE-122 oraz CWE-787 (zapis poza granicami bufora). Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad przepływem wykonania programu i uruchomienia dowolnego kodu na podatnym urządzeniu.

Skutki

Atakujący może zdalnie wykonać dowolny kod (RCE) na podatnym urządzeniu bez żadnych uprawnień wstępnych, co w praktyce oznacza pełne przejęcie kontroli nad systemem, a w przypadku urządzeń IoT/embedded — także nad obsługiwaną infrastrukturą fizyczną.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (Cisco Talos TALOS-2023-1843). Zaleca się również ograniczenie dostępu sieciowego do urządzeń korzystających z biblioteki uC-HTTP poprzez firewall lub segmentację sieci, do czasu wdrożenia poprawki.

Kogo dotyczy

Weston Embedded uC-HTTP (commit 80d4004) oraz Silabs Gecko Software Development Kit zawierający tę bibliotekę; szczegółowe wersje wskazane w referencjach producenta.

Uwagi

Podatność dotyczy kodu uC-HTTP w konkretnym commicie git (80d4004). Raport opublikowany przez Cisco Talos Intelligence (TALOS-2023-1843). Biblioteka uC-HTTP jest powszechnie stosowana w systemach embedded i urządzeniach IoT, co zwiększa potencjalny zasięg podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Silabs Gecko Software Development Kit

    APP
    Silabs
    4.3.2.0
  • Weston Embedded Uc Http

    APP
    Weston-Embedded
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2023-4280CRITICAL9.3PL ✓ten sam produkt

Silabs Gecko SDK: dostęp do pamięci TrustZone z niezaufanego regionu

CVE-2023-4020CRITICAL9.0PL ✓ten sam produkt

Błąd walidacji wejścia w TrustZone SDK Silicon Labs — dostęp do pamięci bezpiecznej

CVE-2023-27882CRITICAL9.0ten sam produkt

A heap-based buffer overflow vulnerability exists in the HTTP Server form boundary functionality of Weston Emb...

CVE-2023-28379CRITICAL9.0ten sam produkt

A memory corruption vulnerability exists in the HTTP Server form boundary functionality of Weston Embedded uC-...

CVE-2023-25181CRITICAL9.0ten sam produkt

A heap-based buffer overflow vulnerability exists in the HTTP Server functionality of Weston Embedded uC-HTTP ...

CVE-2023-45318 — Heap-based buffer overflow w serwerze HTTP biblioteki uC-HTTP — RCE — CRITICAL 10.0 | CVEbaza.pl