Katalog CVE

CVE-2019-20838

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w bibliotece PCRE przed wersją 8.43 umożliwia odczyt poza zakresem bufora danych w trybie JIT, gdy wyłączone jest kodowanie UTF, a wzorzec zawiera sekwencje \X lub \R z więcej niż jednym stałym kwantyfikatorem. Problem jest powiązany z CVE-2019-20454.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu danych poza przydzielonym buforem, co może prowadzić do ujawnienia poufnych informacji lub destabilizacji systemu.

Rekomendacja

Należy zaktualizować bibliotekę PCRE do wersji 8.43 lub nowszej. W przypadku braku możliwości aktualizacji, zaleca się wyłączenie trybu JIT lub unikanie wzorców z wieloma stałymi kwantyfikatorami dla \X i \R.

Oryginalny opis (angielski, źródło NVD)

libpcre in PCRE before 8.43 allows a subject buffer over-read in JIT when UTF is disabled, and \X or \R has more than one fixed quantifier, a related issue to CVE-2019-20454.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS