CRITICAL🇬🇧 English

CVE-2024-48856

Out-of-bounds write w kodeku PCX w BlackBerry QNX SDP — RCE i DoS

CVSS 9.8v3.1pub. 2025-01-14upd. 2025-01-21

Podatność out-of-bounds write w kodeku obrazów PCX w BlackBerry QNX Software Development Platform umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu lub wywołanie odmowy usługi. Krytyczny poziom CVSS 9.8 wynika z braku wymagań dotyczących uwierzytelnienia, interakcji użytkownika oraz uprawnień.

Pokaż oryginał (EN)

Out-of-bounds write in the PCX image codec in QNX SDP versions 8.0, 7.1 and 7.0 could allow an unauthenticated attacker to cause a denial-of-service condition or execute code in the context of the process using the image codec.

🤖 Analiza AI
Jak działa

Błąd klasy CWE-787 (out-of-bounds write) występuje w kodeku obsługującym format obrazów PCX w QNX SDP. Przetworzenie specjalnie spreparowanego pliku PCX powoduje zapis danych poza przeznaczonym buforem w pamięci. Exploit może zostać wywołany przez dowolny proces, który korzysta z podatnego kodeka do przetwarzania obrazów, bez konieczności posiadania jakichkolwiek uprawnień ani logowania.

Skutki

Atakujący może doprowadzić do odmowy usługi (DoS) w procesie korzystającym z kodeka PCX lub wykonać dowolny kod w kontekście tego procesu. W środowiskach przemysłowych i wbudowanych, gdzie QNX SDP jest powszechnie stosowany, skutki mogą obejmować przejęcie kontroli nad krytycznymi komponentami systemowymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://support.blackberry.com/pkb/s/article/140334

Kogo dotyczy

BlackBerry QNX Software Development Platform (QNX SDP) w wersjach 8.0, 7.1 oraz 7.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Blackberry Qnx Software Development Platform

    APP
    Blackberry
    7.07.18.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassMemory
CWE
Referencje

Powiązane podatności

CVE-2025-2474CRITICAL9.8PL ✓ten sam produkt

Out-of-bounds write w kodeku PCX w BlackBerry QNX SDP — RCE i DoS

CVE-2024-35213CRITICAL9.0PL ✓ten sam produkt

Podatność improper input validation w SGI Image Codec QNX SDP

CVE-2021-32024CRITICAL9.8ten sam produkt

A remote code execution vulnerability in the BMP image codec of BlackBerry QNX SDP version(s) 6.4 to 7.1 could...

CVE-2021-22156CRITICAL9.0ten sam produkt

An integer overflow vulnerability in the calloc() function of the C runtime library of affected versions of Bl...

CVE-2020-6932CRITICAL10.0ten sam produkt

An information disclosure and remote code execution vulnerability in the slinger web server of the BlackBerry ...