W produkcie SkyFire_548 (ProjectSkyfire) wykryto krytyczną podatność związaną z nieprawidłową arytmetyką wskaźników (CWE-468), osiągającą wynik CVSS 9.8. Błąd może umożliwić atakującemu zdalne wykonanie kodu lub przejęcie kontroli nad systemem bez jakiejkolwiek autoryzacji.
▸ Pokaż oryginał (EN)
improper pointer arithmetic vulnerability in ProjectSkyfire SkyFire_548.This issue affects SkyFire_548: before 5.4.8-stable5.
Podatność wynika z niepoprawnych operacji arytmetycznych na wskaźnikach w kodzie aplikacji, co może prowadzić do odczytu lub zapisu pamięci poza przeznaczonymi obszarami. Błędne obliczenia adresów wskaźników mogą skutkować uszkodzeniem pamięci w sposób możliwy do wykorzystania przez atakującego. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), exploit może być przeprowadzony zdalnie i bez żadnych warunków wstępnych.
Atakujący może uzyskać pełną kontrolę nad podatnym systemem, obejmującą naruszenie poufności, integralności oraz dostępności danych — co odpowiada najwyższym ocenom wszystkich trzech komponentów w wektorze CVSS.
Należy zaktualizować SkyFire_548 do wersji 5.4.8-stable5 lub nowszej. Szczegóły dostępne w referencjach producenta: https://github.com/cadaver/turso3d/pull/11
ProjectSkyfire SkyFire_548 we wszystkich wersjach przed 5.4.8-stable5
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H