HIGH✓ PATCH🇬🇧 English

CVE-2024-7254

CVSS 8.7v4.0pub. 2024-09-19upd. 2025-09-26

Any project that parses untrusted Protocol Buffers data containing an arbitrary number of nested groups / series of SGROUP tags can corrupted by exceeding the stack limit i.e. StackOverflow. Parsing nested groups as unknown fields with DiscardUnknownFieldsParser or Java Protobuf Lite parser, or against Protobuf map fields, creates unbounded recursions that can be abused by an attacker.

oryginał EN
CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Google Protobuf

    APP
    Google
    < 3.25.54.0.0 – 4.27.5 (bez)4.28.0 – 4.28.2 (bez)
  • Google Protobuf Java

    APP
    Google
    < 3.25.54.0.0 – 4.27.5 (bez)4.28.0 – 4.28.2 (bez)
  • Google Protobuf Javalite

    APP
    Google
    < 3.25.54.0.0 – 4.27.5 (bez)4.28.0 – 4.28.2 (bez)
  • Google Protobuf Kotlin

    APP
    Google
    < 3.25.54.0.0 – 4.27.5 (bez)4.28.0 – 4.28.2 (bez)
  • Google Protobuf Kotlin Lite

    APP
    Google
    < 3.25.54.0.0 – 4.27.5 (bez)4.28.0 – 4.28.2
  • Netapp Active Iq Unified Manager

    APP
    Netapp
    wszystkie wersje
  • Netapp Bluexp

    APP
    Netapp
    wszystkie wersje
  • Netapp Ontap Tools

    APP
    Netapp
    10
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-44228CRITICAL10.0⚠ KEVten sam produkt

Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features u...

CVE-2024-52533CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w GNOME GLib — błąd off-by-one w obsłudze SOCKS4

CVE-2024-47561CRITICAL9.2PL ✓ten sam produkt

Apache Avro Java SDK — RCE przez niebezpieczną deserializację schematu

CVE-2024-28752CRITICAL9.3PL ✓ten sam produkt

SSRF w Apache CXF przez Aegis DataBinding — ataki na usługi webowe

CVE-2023-38545CRITICAL9.8ten sam produkt

This flaw makes curl overflow a heap based buffer in the SOCKS5 proxy handshake. When curl is asked to pass a...