Krytyczna podatność typu heap-based buffer overflow (zapis poza granicami bufora) w projekcie wxhelper dotyczy modułu mongoose.C. Umożliwia zdalnemu atakującemu bez uwierzytelnienia wykonanie dowolnego kodu, co czyni ją wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
Out-of-bounds Write, Heap-based Buffer Overflow vulnerability in ttttupup wxhelper (src modules). This vulnerability is associated with program files mongoose.C. This issue affects wxhelper: through 3.9.10.19-v1.
Podatność sklasyfikowana jako CWE-122 (Heap-based Buffer Overflow) i CWE-787 (Out-of-bounds Write) polega na tym, że aplikacja zapisuje dane poza przydzielonym obszarem sterty w pliku źródłowym mongoose.C. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które przepełnią bufor na stercie, nadpisując sąsiednie obszary pamięci. Ze względu na wektor sieciowy (AV:N) i brak wymagań dotyczących uwierzytelnienia (PR:N) czy interakcji użytkownika (UI:N), exploit może być przeprowadzony zdalnie.
Udane wykorzystanie podatności może pozwolić atakującemu na wykonanie dowolnego kodu (RCE) w kontekście procesu, a także wpłynąć na poufność, integralność i dostępność zarówno atakowanego systemu, jak i systemów powiązanych (wysoki wpływ na SC/SI/SA według CVSS 4.0).
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły poprawki dostępne w pull request #515 w repozytorium GitHub projektu wxhelper (https://github.com/ttttupup/wxhelper/pull/515). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do usług wystawianych przez wxhelper.
Aplikacja wxhelper (autorstwa ttttupup) we wszystkich wersjach do 3.9.10.19-v1 włącznie, moduły src, plik mongoose.C.
Podatność opublikowana 2026-01-27. Wektor CVSS 4.0 wynosi 10.0 (maksymalny), jednak brak potwierdzenia aktywnego wykorzystania (nie figuruje w CISA KEV). Oznaczenie AU:Y sugeruje, że podatność nadaje się do automatycznego wykorzystania.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:U/V:D/RE:M/U:Red