CRITICAL🇬🇧 English

CVE-2024-23086

Kwestionowany stack overflow w Apfloat v1.10.1 (modPow)

CVSS 9.8v3.1pub. 2024-04-08upd. 2026-07-05

W bibliotece Apfloat v1.10.1 zgłoszono podatność typu stack overflow w komponencie org.apfloat.internal.DoubleModMath::modPow. Istnienie podatności jest kwestionowane przez wiele stron trzecich, które uznały, że brak wystarczających dowodów potwierdzających jej rzeczywiste wystąpienie.

Pokaż oryginał (EN)

Apfloat v1.10.1 was discovered to contain a stack overflow via the component org.apfloat.internal.DoubleModMath::modPow(double. NOTE: this is disputed by multiple third parties who believe there was not reasonable evidence to determine the existence of a vulnerability. The submission may have been based on a tool that is not sufficiently robust for vulnerability identification.

🤖 Analiza AI
Jak działa

Według zgłoszenia, wywołanie metody modPow w klasie DoubleModMath może prowadzić do przepełnienia stosu (stack overflow) sklasyfikowanego jako CWE-125 (out-of-bounds read). Zgłoszenie zostało zakwestionowane, ponieważ istnieją przesłanki wskazujące, że zostało wygenerowane przez narzędzie nieposiadające wystarczającej precyzji do identyfikacji podatności. Z tego względu wiarygodność opisanego mechanizmu ataku jest niepewna.

Skutki

Jeśli podatność byłaby rzeczywista, atakujący mógłby potencjalnie doprowadzić do naruszenia poufności, integralności i dostępności systemu — jednak brak wiarygodnych dowodów potwierdzających exploitowalność tego zgłoszenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na kwestionowany charakter podatności zaleca się śledzenie oficjalnych komunikatów projektu Apfloat pod adresem http://apfloat.com oraz repozytorium GitHub.

Kogo dotyczy

Apfloat v1.10.1 (produkt firmy Mikkotommila). Podatność jest kwestionowana — należy zapoznać się z referencjami producenta.

Uwagi

Podatność jest formalnie kwestionowana (disputed) przez wiele stron trzecich. Zgłoszenie mogło zostać wygenerowane automatycznie przez narzędzie niewystarczająco wiarygodne do identyfikacji podatności. Pomimo oceny CVSS 9.8 (CRITICAL), należy zachować ostrożność przy interpretacji tego wpisu i traktować go jako potencjalnie fałszywy alarm.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mikkotommila Apfloat

    APP
    Mikkotommila
    1.10.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-23084HIGH7.5ten sam produkt

Apfloat v1.10.1 was discovered to contain an ArrayIndexOutOfBoundsException via the component org.apfloat.inte...

CVE-2024-23085HIGH7.5ten sam produkt

Apfloat v1.10.1 was discovered to contain a NullPointerException via the component org.apfloat.internal.Double...