CVE-2022-45188
عالية / High
CVSS 7.8
VULNERABILITY BRIEF
CVE-2022-45188
المصدر الرسمي: NVD
مستوى الخطورة
عالية (High)
درجة CVSS
7.8
حالة الاستغلال KEV
غير مدرجة حاليًا
تاريخ النشر
2022-11-12
وصف الثغرة
تحتوي نسخة Netatalk حتى 3.1.13 على ثغرة في دالة afp_getappl تؤدي إلى تجاوز مؤقت مكدس يعتمد على الكومة مما يسمح بتنفيذ شيفرة خبيثة عبر ملف .appl مُصمم خصيصًا. تتيح هذه الثغرة الوصول الجذري عن بعد على بعض المنصات مثل FreeBSD المستخدمة في TrueNAS.
الأثر المحتمل
تُصنف الثغرة بدرجة عالية (7.8) وفق نظام CVSS، وتسمح باختراق شامل للنظام مع القدرة على تنفيذ تعليمات برمجية خبيثة عن بعد، مما يؤثر على سرية وتكامل وتوافر النظام المصاب.
التوصيات والمعالجة
لم تتوفر تفاصيل إضافية في المصدر الرسمي. راجع روابط المصدر الرسمية.
حالة الاستغلال (KEV)
لا يوجد إدراج حاليًا في قائمة KEV.
المراجع الرسمية
- https://lists.debian.org/debian-lts-announce/2023/05/msg00018.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EZYWSGVA6WXREMB6PV56HAHKU7R6KPOP/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GEAFLA5L2SHOUFBAGUXIF2TZLGBXGJKT/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SG6WZW5LXFVH3P7ZVZRGHUVJEMEFKQLI/
- https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html
- https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.14.html
- https://rushbnt.github.io/bug%20analysis/netatalk-0day/
- https://security.gentoo.org/glsa/202311-02
- https://sourceforge.net/projects/netatalk/files/netatalk/
- https://www.debian.org/security/2023/dsa-5503
English Technical Fields
Description: Netatalk through 3.1.13 has an afp_getappl heap-based buffer overflow resulting in code execution via a crafted .appl file. This provides remote root access on some platforms such as FreeBSD (used for TrueNAS).
CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H