CRITICAL🇬🇧 English

CVE-2025-2474

Out-of-bounds write w kodeku PCX w BlackBerry QNX SDP — RCE i DoS

CVSS 9.8v3.1pub. 2025-06-10upd. 2025-12-01

Podatność typu out-of-bounds write w kodeku obrazów PCX wbudowanym w BlackBerry QNX Software Development Platform (SDP) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu lub wywołanie stanu odmowy usługi (DoS). Wysoki wynik CVSS 9.8 i brak wymogu uwierzytelnienia czynią tę podatność szczególnie groźną dla systemów wbudowanych i przemysłowych opartych na QNX.

Pokaż oryginał (EN)

Out-of-bounds write in the PCX image codec in QNX SDP versions 8.0, 7.1 and 7.0 could allow an unauthenticated attacker to cause a denial-of-service condition or execute code in the context of the process using the image codec.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej obsłudze danych wejściowych przez kodek obrazów PCX — specjalnie spreparowany plik PCX może spowodować zapis danych poza przeznaczonym buforem pamięci (out-of-bounds write, CWE-787). Atakujący bez żadnych uprawnień może dostarczyć złośliwy plik obrazu do aplikacji korzystającej z podatnego kodeka. W zależności od kontekstu wykonania procesu, exploit może prowadzić do wykonania dowolnego kodu lub awaryjnego zakończenia procesu.

Skutki

Atakujący może wykonać dowolny kod w kontekście procesu używającego podatnego kodeka obrazów PCX, co może skutkować przejęciem kontroli nad komponentem systemu, lub wywołać stan odmowy usługi (DoS) powodując awarię tego procesu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.blackberry.com/pkb/s/article/140646). Do czasu wdrożenia poprawki zaleca się ograniczenie przetwarzania niezaufanych plików graficznych PCX przez aplikacje oparte na QNX SDP oraz minimalizację ekspozycji podatnych komponentów na niezaufane dane wejściowe.

Kogo dotyczy

BlackBerry QNX Software Development Platform (SDP) w wersjach 8.0, 7.1 oraz 7.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Blackberry Qnx Software Development Platform

    APP
    Blackberry
    7.07.18.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassMemory
CWE
Referencje

Powiązane podatności

CVE-2024-48856CRITICAL9.8PL ✓ten sam produkt

Out-of-bounds write w kodeku PCX w BlackBerry QNX SDP — RCE i DoS

CVE-2024-35213CRITICAL9.0PL ✓ten sam produkt

Podatność improper input validation w SGI Image Codec QNX SDP

CVE-2021-32024CRITICAL9.8ten sam produkt

A remote code execution vulnerability in the BMP image codec of BlackBerry QNX SDP version(s) 6.4 to 7.1 could...

CVE-2021-22156CRITICAL9.0ten sam produkt

An integer overflow vulnerability in the calloc() function of the C runtime library of affected versions of Bl...

CVE-2020-6932CRITICAL10.0ten sam produkt

An information disclosure and remote code execution vulnerability in the slinger web server of the BlackBerry ...