CRITICAL🇬🇧 English

CVE-2023-45927

Wyjątek arytmetyczny w S-Lang 2.3.2 — funkcja tt_sprintf()

CVSS 9.1v3.1pub. 2024-03-27upd. 2025-11-04

W bibliotece S-Lang 2.3.2 wykryto podatność powodującą wyjątek arytmetyczny (np. dzielenie przez zero) w funkcji tt_sprintf(). Podatność uzyskała ocenę CVSS 9.1, co wskazuje na poważny wpływ na dostępność i poufność danych.

Pokaż oryginał (EN)

S-Lang 2.3.2 was discovered to contain an arithmetic exception via the function tt_sprintf().

🤖 Analiza AI
Jak działa

Podatność polega na wywołaniu nieprawidłowej operacji arytmetycznej wewnątrz funkcji tt_sprintf() biblioteki S-Lang 2.3.2. Błąd sklasyfikowany jako CWE-703 (niewłaściwa obsługa wyjątków lub błędów) sugeruje, że aplikacja nie radzi sobie poprawnie z nieprawidłowymi warunkami arytmetycznymi. Atakujący może dostarczyć odpowiednio spreparowane dane wejściowe, które wywołają ten wyjątek zdalnie, bez konieczności uwierzytelnienia.

Skutki

Wykorzystanie podatności może prowadzić do odmowy dostępu do usługi (DoS) poprzez crash aplikacji korzystającej z biblioteki S-Lang, a także potencjalnie do nieautoryzowanego ujawnienia danych (wysoka poufność według wektora CVSS). Podatność jest dostępna zdalnie bez uwierzytelnienia, co znacznie zwiększa ryzyko jej wykorzystania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (listy dyskusyjne slang-users oraz full-disclosure). Zaleca się śledzenie oficjalnych kanałów Jedsoft pod adresem lists.jedsoft.org w celu uzyskania informacji o dostępnych aktualizacjach.

Kogo dotyczy

Jedsoft S-Lang w wersji 2.3.2

Uwagi

Szczegóły podatności zostały opublikowane na liście Full Disclosure w styczniu 2024 roku (seclists.org/fulldisclosure/2024/Jan/55), mimo że CVE dotyczy wersji S-Lang 2.3.2.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Jedsoft S Lang

    APP
    Jedsoft
    2.3.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-45929CRITICAL9.1PL ✓ten sam produkt

S-Lang 2.3.2: błąd segmentacji w funkcji fixup_tgetstr()

CVE-2023-45927 — Wyjątek arytmetyczny w S-Lang 2.3.2 — funkcja tt_sprintf() — CRITICAL 9.1 | CVEbaza.pl