CRITICAL🇬🇧 English

CVE-2024-33768

Naruszenie segmentacji (segfault) w bibliotece LunaSVG v2.3.9

CVSS 9.8v3.1pub. 2024-05-01upd. 2025-04-15

W bibliotece LunaSVG w wersji 2.3.9 odkryto naruszenie segmentacji (segmentation violation) w komponencie composition_solid_source_over. Błąd może prowadzić do nieautoryzowanego dostępu do pamięci lub wykonania kodu, co czyni go krytycznym zagrożeniem.

Pokaż oryginał (EN)

lunasvg v2.3.9 was discovered to contain a segmentation violation via the component composition_solid_source_over.

🤖 Analiza AI
Jak działa

Podatność jest wywoływana przez komponent composition_solid_source_over odpowiedzialny za operacje kompozycji graficznej przy renderowaniu plików SVG. Nieprawidłowe przetwarzanie danych wejściowych powoduje naruszenie segmentacji, co oznacza dostęp do niedozwolonego obszaru pamięci. Błąd można potencjalnie wywołać poprzez dostarczenie specjalnie spreparowanego pliku SVG, co odpowiada klasie CWE-653 (niewystarczająca izolacja lub przedziałowanie wrażliwych komponentów).

Skutki

Atakujący może doprowadzić do nieautoryzowanego odczytu i zapisu pamięci procesu, potencjalnie umożliwiając zdalne wykonanie kodu (RCE), eskalację uprawnień lub doprowadzenie aplikacji do awarii. Wysoki wynik CVSS (9.8) wskazuje na możliwość naruszenia poufności, integralności i dostępności systemu bez jakiejkolwiek autoryzacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się monitorowanie repozytorium projektu LunaSVG pod kątem wydania poprawionej wersji oraz unikanie przetwarzania niezaufanych plików SVG przy użyciu podatnej wersji biblioteki.

Kogo dotyczy

Sammycage LunaSVG w wersji 2.3.9

Uwagi

Dostępny jest publiczny proof-of-concept (PoC) pod adresem https://github.com/keepinggg/poc/tree/main/poc_of_lunasvg, co zwiększa ryzyko eksploitacji w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Sammycage Lunasvg

    APP
    Sammycage
    2.3.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-57722HIGH7.5ten sam produkt

lunasvg v3.0.0 was discovered to contain a allocation-size-too-big bug via the component plutovg_surface_creat...

CVE-2024-33763HIGH7.5ten sam produkt

lunasvg v2.3.9 was discovered to contain a stack-buffer-underflow at lunasvg/source/layoutcontext.cpp.

CVE-2024-55456MEDIUM6.5ten sam produkt

lunasvg v3.0.1 was discovered to contain a segmentation violation via the component gray_find_cell

CVE-2024-57720MEDIUM6.5ten sam produkt

lunasvg v3.0.0 was discovered to contain a segmentation violation via the component plutovg_blend.

CVE-2024-57719MEDIUM6.5ten sam produkt

lunasvg v3.0.0 was discovered to contain a segmentation violation via the component blend_transformed_tiled_ar...