CRITICAL🇬🇧 English

CVE-2026-24872

Nieprawidłowa arytmetyka wskaźników w ProjectSkyfire SkyFire_548

CVSS 9.8v3.1pub. 2026-01-27upd. 2026-04-15

W produkcie SkyFire_548 (ProjectSkyfire) wykryto krytyczną podatność związaną z nieprawidłową arytmetyką wskaźników (CWE-468), osiągającą wynik CVSS 9.8. Błąd może umożliwić atakującemu zdalne wykonanie kodu lub przejęcie kontroli nad systemem bez jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

improper pointer arithmetic vulnerability in ProjectSkyfire SkyFire_548.This issue affects SkyFire_548: before 5.4.8-stable5.

🤖 Analiza AI
Jak działa

Podatność wynika z niepoprawnych operacji arytmetycznych na wskaźnikach w kodzie aplikacji, co może prowadzić do odczytu lub zapisu pamięci poza przeznaczonymi obszarami. Błędne obliczenia adresów wskaźników mogą skutkować uszkodzeniem pamięci w sposób możliwy do wykorzystania przez atakującego. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), exploit może być przeprowadzony zdalnie i bez żadnych warunków wstępnych.

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym systemem, obejmującą naruszenie poufności, integralności oraz dostępności danych — co odpowiada najwyższym ocenom wszystkich trzech komponentów w wektorze CVSS.

Mitygacja

Należy zaktualizować SkyFire_548 do wersji 5.4.8-stable5 lub nowszej. Szczegóły dostępne w referencjach producenta: https://github.com/cadaver/turso3d/pull/11

Kogo dotyczy

ProjectSkyfire SkyFire_548 we wszystkich wersjach przed 5.4.8-stable5

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje