Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Gerbv

Múltiples vulnerabilidades en productos Gerbv

Fecha de publicación: 
01/02/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Gerbv 2.7.0;
  • Gerbv forked 2.7.1;
  • Gerbv forked 2.8.0;
  • Gerbv dev (commit b5f1eacd).
Descripción: 

Claudio Bozzato, de Cisco Talos, ha descubierto 2 vulnerabilidades en productos de Gerbv: 1 de severidad crítica y 1 media, que podrían permitir a un atacante realizar una ejecución de código y divulgación de información.

Solución: 

Aplicar los cambios como se indican en los enlaces de referencias.

Detalle: 

Existe una vulnerabilidad use-after-free en la funcionalidad de tokenización de la definición de apertura RS-274X de Gerbv 2.7.0 y dev (commit b5f1eacd), así como Gerbv forked 2.7.1. Un archivo gerber especialmente diseñado podría llevar a la ejecución de código. Se ha asignado el identificador CVE-2021-40401 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-40403.

Encuesta valoración