CRITICAL🇬🇧 English

CVE-2024-46478

Buffer overflow w HTMLDOC v1.9.18 — funkcja parse_pre

CVSS 9.8v3.1pub. 2024-10-24upd. 2025-06-24

HTMLDOC w wersji 1.9.18 zawiera podatność typu buffer overflow w funkcji parse_pre (plik ps-pdf.cxx, linia 5681). Luka posiada ocenę CVSS 9.8 i może zostać wykorzystana zdalnie bez uwierzytelnienia.

Pokaż oryginał (EN)

HTMLDOC v1.9.18 contains a buffer overflow in parse_pre function,ps-pdf.cxx:5681.

🤖 Analiza AI
Jak działa

Podatność (CWE-120) polega na przepełnieniu bufora w funkcji parse_pre podczas przetwarzania dokumentów HTML. Atakujący może dostarczyć specjalnie spreparowany plik HTML, który powoduje zapis danych poza granicami zaalokowanego bufora w pamięci. Brak odpowiedniej walidacji rozmiaru danych wejściowych przed operacją kopiowania do bufora umożliwia nadpisanie sąsiednich obszarów pamięci.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do wykonania dowolnego kodu (RCE) w kontekście procesu przetwarzającego dokument, a także do naruszenia poufności, integralności i dostępności systemu. Atakujący nieposiadający żadnych uprawnień może przejąć kontrolę nad podatną aplikacją.

Mitygacja

Należy zastosować patch dostępny w repozytorium projektu (commit 683bec548e642cf4a17e003fb34f6bbaf2d27b98 na GitHub) lub zaktualizować HTMLDOC do wersji zawierającej poprawkę zgodnie z informacjami producenta.

Kogo dotyczy

HTMLDOC w wersji 1.9.18 (projekt Htmldoc Project / michaelrsweet/htmldoc).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Htmldoc Project Htmldoc

    APP
    Htmldoc Project
    1.9.18
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2024-45508CRITICAL9.8PL ✓ten sam produkt

HTMLDOC: out-of-bounds write w parse_paragraph podczas przetwarzania HTML

CVE-2021-23158CRITICAL9.8ten sam produkt

A flaw was found in htmldoc in v1.9.12. Double-free in function pspdf_export(),in ps-pdf.cxx may result in a w...

CVE-2021-23165CRITICAL9.8ten sam produkt

A flaw was found in htmldoc before v1.9.12. Heap buffer overflow in pspdf_prepare_outpages(), in ps-pdf.cxx ma...

CVE-2021-20308CRITICAL9.8ten sam produkt

Integer overflow in the htmldoc 1.9.11 and before may allow attackers to execute arbitrary code and cause a de...

CVE-2021-34119HIGH7.8ten sam produkt

A flaw was discovered in htmodoc 1.9.12 in function parse_paragraph in ps-pdf.cxx ,this flaw possibly allows p...