一、漏洞CVE
二、漏洞介绍
Cap'n Proto 是一个支持快速数据格式交换的 RPC 系统。
Cap'n Proto 受影响版本中由于 capnp/layout.c++ 和 capnp/layout.h 类处理列表的逻辑错误导致存在越界读取漏洞,攻击者可通过发送恶意消息,当用户使用指针类型列表执行处理恶意消息时触发漏洞。应用程序在执行特定的操作序列前提下,攻击者可利用此漏洞获取目标系统敏感信息,或远程执行恶意代码。
三、危害影响
Cap'n Proto 受影响版本中由于 capnp/layout.c++ 和 capnp/layout.h 类处理列表的逻辑错误导致存在越界读取漏洞,攻击者可通过发送恶意消息,当用户使用指针类型列表执行处理恶意消息时触发漏洞。应用程序在执行特定的操作序列前提下,攻击者可利用此漏洞获取目标系统敏感信息,或远程执行恶意代码。
影响版本如下:
capnproto@[0.9.0, 0.9.2)
capnproto@[0.8.0, 0.8.1)
capnproto@[0.10.0, 0.10.3)
capnproto@[0.7.0, 0.7.1)
四、修复建议
升级capnproto到 0.7.1 或 0.8.1 或 0.9.2 或 0.10.3 或更高版本
升级capnproto到 0.7.1 或 0.8.1 或 0.9.2 或 0.10.3 或更高版本
五、相关链接
https://www.oscs1024.com/hd/MPS-2022-65542
https://nvd.nist.gov/vuln/detail/CVE-2022-46149
https://github.com/capnproto/capnproto/security/advisories/GHSA-qqff-4vw4-f6hx
https://github.com/capnproto/capnproto/commit/25d34c67863fd960af34fc4f82a7ca3362ee74b9
评论