CRITICAL🇬🇧 English

CVE-2025-14308

Integer overflow w klasie Buffer Robocode umożliwiający RCE

CVSS 10.0v4.0pub. 2025-12-09upd. 2026-01-05

W Robocode w wersji 1.9.3.6 wykryto podatność integer overflow w metodzie write klasy Buffer, która nie waliduje poprawnie długości zapisywanych danych. Luka umożliwia atakującemu wywołanie przepełnienia bufora i potencjalne wykonanie dowolnego kodu (RCE).

Pokaż oryginał (EN)

An integer overflow vulnerability exists in the write method of the Buffer class in Robocode version 1.9.3.6. The method fails to properly validate the length of data being written, allowing attackers to cause an overflow, potentially leading to buffer overflows and arbitrary code execution. This vulnerability can be exploited by submitting specially crafted inputs that manipulate the data length, leading to potential unauthorized code execution.

🤖 Analiza AI
Jak działa

Metoda write klasy Buffer nie przeprowadza właściwej walidacji długości danych przekazywanych do zapisu, co prowadzi do przepełnienia liczby całkowitej (integer overflow, CWE-190). Skutkiem tego przepełnienia może być przekroczenie granic zarezerwowanego bufora w pamięci. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe manipulujące wartością długości, co w konsekwencji może doprowadzić do wykonania dowolnego kodu w kontekście podatnej aplikacji.

Skutki

Atakujący może doprowadzić do przepełnienia bufora w pamięci, a w efekcie do wykonania dowolnego kodu (arbitrary code execution) bez autoryzacji. Ze względu na wektor sieciowy i brak wymaganych uprawnień, exploitacja może nastąpić zdalnie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — dostępny jest pull request naprawczy pod adresem https://github.com/robo-code/robocode/pull/70. Zaleca się aktualizację do wersji zawierającej poprawkę oraz ograniczenie dostępu do instancji Robocode z niezaufanych sieci do czasu zastosowania łatki.

Kogo dotyczy

Robocode w wersji 1.9.3.6

Uwagi

Podatność zgłoszona w ramach pull request na oficjalnym repozytorium GitHub projektu Robocode. CVSS 4.0 wynosi 10.0 (maksymalny), co wskazuje na krytyczność, jednak brak potwierdzenia aktywnej exploitacji w zasobach CISA KEV.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:U/V:D/RE:M/U:Red
  • Robocode

    APP
    Robocode
    1.9.3.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2025-14306CRITICAL10.0PL ✓ten sam produkt

Path Traversal w Robocode CacheCleaner — usuwanie dowolnych plików

CVE-2025-14307CRITICAL9.3PL ✓ten sam produkt

Robocode: podatność race condition przy tworzeniu plików tymczasowych (RCE)

CVE-2019-10648CRITICAL9.8ten sam produkt

Robocode through 1.9.3.5 allows remote attackers to cause external service interaction (DNS), as demonstrated ...

CVE-2008-2078HIGH7.5ten sam produkt

Robocode before 1.6.0 allows user-assisted remote attackers to "access the internals of the Robocode game" via...

CVE-2007-6382MEDIUM6.8ten sam produkt

The Event Dispatch Thread in Robocode before 1.5.1 allows remote attackers to execute arbitrary Java code by u...

CVE-2025-14308 — Integer overflow w klasie Buffer Robocode umożliwiający RCE — CRITICAL 10.0 | CVEbaza.pl