CVEbaza.plSłownik CWECWE-120
Common Weakness Enumeration

CWE-120

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

Kategoria: BaseCVE: 5243
Opis

Produkt kopiuje bufor wejściowy do buforu wyjściowego bez weryfikacji, że rozmiar buforu wejściowego jest mniejszy niż rozmiar buforu wyjściowego. Może to prowadzić do przepełnienia buforu i potencjalnych błędów w działaniu systemu.

Description (EN)

The product copies an input buffer to an output buffer without verifying that the size of the input buffer is less than the size of the output buffer.

Podatności CVE z CWE-120 (5243)
10.0
CVSS
CRITICAL
CVE-2026-4689

Krytyczna podatność w komponencie XPCOM przeglądarki Mozilla Firefox oraz klienta pocztowego Mozilla Thunderbird umożliwia ucieczkę z mechanizmu sandbox. Błąd ma wynik CVSS 10.0, co oznacza pełne zagrożenie dla poufności, integralności i dostępności systemu bez konieczności uwierzytelnienia.

pub. 2026-03-24
10.0
CVSS
CRITICAL
CVE-2025-48611

Podatność w komponencie DeviceId systemu Google Android umożliwia lokalną eskalację uprawnień bez konieczności posiadania dodatkowych uprawnień przez atakującego. Luka wynika z brakującego sprawdzania zakresu (bounds check), co prowadzi do desynchronizacji trwałości danych.

pub. 2026-03-10
10.0
CVSS
CRITICAL
CVE-2026-24793

W projekcie azerothcore-wotlk wykryto krytyczną podatność typu classic buffer overflow oraz out-of-bounds write w module zlib (plik inflate.C). Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość zdalnego, nieuwierzytelnionego ataku bez żadnej interakcji użytkownika.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2026-24800

W oprogramowaniu tildearrow furnace wykryto podatność typu classic buffer overflow (przepełnienie bufora) w module zewnętrznym zlib, w pliku inflate.C. Podatność otrzymała najwyższy możliwy wynik CVSS 10.0, co oznacza krytyczne zagrożenie możliwe do wykorzystania zdalnie bez uwierzytelnienia.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2026-24810

Podatność typu classic buffer overflow (CWE-120) występuje w module cJSON bazy danych RethinkDB (plik cJSON.Cc). Brak weryfikacji rozmiaru danych wejściowych przed kopiowaniem do bufora może umożliwić atakującemu zdalne wykonanie kodu bez uwierzytelnienia.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2026-24823

Podatność typu Out-of-bounds Write (classic buffer overflow) w oprogramowaniu X-TRACK firmy FASTSHIFT dotyczy modułu dekodowania PNG (PNGdec). Umożliwia potencjalnie przejęcie kontroli nad wykonaniem programu poprzez przepełnienie bufora podczas przetwarzania danych wejściowych.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2025-9962

Podatność typu buffer overflow w urządzeniach Novakon P Series HMI umożliwia zdalnym atakującym uzyskanie uprawnień root bez jakiegokolwiek uwierzytelnienia. Ocena CVSS 10.0 (CRITICAL) oznacza maksymalne ryzyko — podatność jest trywialna do wykorzystania z sieci i nie wymaga interakcji użytkownika.

pub. 2025-09-23
10.0
CVSS
CRITICAL
CVE-2010-10016

BS.Player w wersji 2.57 (build 1051) zawiera podatność typu buffer overflow w funkcji importu playlist, wyzwalaną przez otwarcie spreparowanego pliku .m3u. Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad systemem bez żadnych uprawnień ani interakcji ze strony ofiary.

pub. 2025-08-30
10.0
CVSS
CRITICAL
CVE-2012-10035

Turbo FTP Server w wersjach 1.30.823 i 1.30.826 zawiera podatność buffer overflow w obsłudze komendy PORT. Niezalogowany zdalny atakujący może wykonać dowolny kod z uprawnieniami SYSTEM bez żadnego uwierzytelnienia.

pub. 2025-08-05
10.0
CVSS
CRITICAL
CVE-2025-1864

Krytyczna podatność typu buffer overflow w narzędziu radare2 (framework do analizy binarnej) pozwala atakującemu na wykonanie nieautoryzowanych operacji poza granicami bufora pamięci. Ocena CVSS 10.0 oznacza maksymalne ryzyko, a podatność nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-03-03
10.0
CVSS
CRITICAL
CVE-2024-36290

W oprogramowaniu routera Wavlink AC3000 (model M33A8) istnieje krytyczna podatność typu stack-based buffer overflow w funkcji Goto_chidx() pliku login.cgi. Atakujący bez uwierzytelnienia może wywołać tę podatność za pomocą spreparowanego żądania HTTP, co stanowi poważne zagrożenie dla każdego urządzenia dostępnego z sieci.

pub. 2025-01-14
10.0
CVSS
CRITICAL
CVE-2024-25139

Podatność w urządzeniu TP-Link Omada ER605 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu z uprawnieniami root. Podatność wynika z przepełnienia liczby całkowitej prowadzącego do heap-based buffer overflow w binarnym procesie cloud-brd.

pub. 2024-03-14
10.0
CVSS
CRITICAL
CVE-2024-22039

Podatność typu buffer overflow w bibliotece komunikacji sieciowej systemów Siemens Cerberus PRO, Sinteso FS20 i Desigo Fire Safety umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu z uprawnieniami root. Krytyczny wynik CVSS 10.0 wynika z braku jakichkolwiek wymagań wstępnych po stronie atakującego oraz pełnego przejęcia kontroli nad systemem.

pub. 2024-03-12
10.0
CVSS
CRITICAL
CVE-2024-23613

W Symantec Deployment Solution 7.9 wykryto podatność typu buffer overflow umożliwiającą zdalne wykonanie kodu. Nieuwierzytelniony atakujący sieciowy może przejąć pełną kontrolę nad systemem z uprawnieniami SYSTEM, co czyni tę lukę wyjątkowo krytyczną.

pub. 2024-01-26
10.0
CVSS
CRITICAL
CVE-2024-23614

W Symantec Messaging Gateway w wersjach 9.5 i wcześniejszych występuje podatność typu buffer overflow, która umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem. Ze względu na możliwość wykonania kodu z uprawnieniami root bez jakiegokolwiek uwierzytelnienia podatność otrzymała maksymalny wynik CVSS 10.0.

pub. 2024-01-26
10.0
CVSS
CRITICAL
CVE-2024-23615

W Symantec Messaging Gateway w wersjach 10.5 i wcześniejszych istnieje podatność typu buffer overflow, która umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu. Krytyczny poziom zagrożenia wynika z możliwości przejęcia pełnej kontroli nad systemem bez żadnego uwierzytelnienia.

pub. 2024-01-26
10.0
CVSS
CRITICAL
CVE-2024-23616

W Symantec Server Management Suite w wersji 7.9 i wcześniejszych istnieje podatność typu buffer overflow umożliwiająca zdalnemu, niezautoryzowanemu atakującemu wykonanie dowolnego kodu. Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza krytyczne zagrożenie dla środowisk wykorzystujących to oprogramowanie.

pub. 2024-01-26
10.0
CVSS
CRITICAL
CVE-2024-23621

W serwerze licencji aplikacji IBM Merge Healthcare eFilm Workstation istnieje podatność typu buffer overflow, która umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym systemie. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie krytyczną.

pub. 2024-01-26
10.0
CVSS
CRITICAL
CVE-2023-1424

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') vulnerability in Mitsubishi Electric Corporation MELSEC iQ-F Series CPU modules and MELSEC iQ-R Series CPU modules allows a remote unauthenticated attacker to cause a denial of service (DoS) condition or execute malicious code on a target product by sending specially crafted packets. A system reset of the product is required for recovery from a denial of service (DoS) condition and malicious code execution.

pub. 2023-05-24
10.0
CVSS
CRITICAL
CVE-2021-33972

Buffer Overflow vulnerability in Qihoo 360 Safe Browser v13.0.2170.0 allows attacker to escalate priveleges.

pub. 2023-04-19
Pokazano 20 z 5243 podatności
Informacje
ID: CWE-120
Typ: Base
Podatności: 5243
MITRE CWE ↗
← Słownik CWE
CWE-120 — Kopiowanie buforu bez sprawdzenia rozmiaru wejścia ('Klasyczne przepełnienie buforu') | Słownik CWE | CVEbaza.pl