CRITICAL🇬🇧 English

CVE-2026-24814

Integer overflow w module hiredis biblioteki swoole-src (sds.c)

CVSS 10.0v4.0pub. 2026-01-27upd. 2026-04-15

Podatność typu integer overflow (CWE-190) w module thirdparty/hiredis biblioteki swoole-src, zlokalizowana w pliku sds.c. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczne zagrożenie mogące prowadzić do przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

Integer Overflow or Wraparound vulnerability in swoole swoole-src (thirdparty/hiredis modules). This vulnerability is associated with program files sds.C. This issue affects swoole-src: before 6.0.2.

🤖 Analiza AI
Jak działa

Błąd polega na przepełnieniu liczby całkowitej (integer overflow lub wraparound) w kodzie obsługującym dynamiczne ciągi znaków (SDS — Simple Dynamic Strings) w module hiredis dołączonym do swoole-src. Nieprawidłowo obsłużone operacje arytmetyczne na wartościach całkowitych mogą skutkować alokacją zbyt małego bufora pamięci, co otwiera drogę do dalszych nadpisań pamięci. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może zdalnie, bez uwierzytelnienia, doprowadzić do uszkodzenia pamięci procesu, co w konsekwencji może umożliwić wykonanie dowolnego kodu (RCE), ujawnienie poufnych danych lub niedostępność usługi. Wysoki wpływ na poufność, integralność i dostępność dotyczy zarówno komponentu bezpośredniego, jak i systemów z nim powiązanych.

Mitygacja

Należy zaktualizować swoole-src do wersji 6.0.2 lub nowszej. Szczegóły poprawki dostępne są w referencji producenta: https://github.com/swoole/swoole-src/pull/5698

Kogo dotyczy

swoole-src w wersjach przed 6.0.2 (komponent thirdparty/hiredis, plik sds.c)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:U/V:C/RE:L/U:Red
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje