Обнаружена ошибка в wren-lang wren до 0.4.0. Этой уязвимости подвержена функция emmitOp файла src/vm/wren_compiler.c. Эта манипуляция приводит к чтению за пределами допустимого диапазона.
Можно запустить атаку на локальный хост. Эксплойт опубликован и может быть использован. Проект был заранее проинформирован о проблеме в отчете о проблеме, но пока не ответил.
Показать оригинальное описание (EN)
A flaw has been found in wren-lang wren up to 0.4.0. Affected by this vulnerability is the function emitOp of the file src/vm/wren_compiler.c. This manipulation causes out-of-bounds read. It is possible to launch the attack on the local host. The exploit has been published and may be used. The project was informed of the problem early through an issue report but has not responded yet.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 6
https://github.com/oneafter/0122/blob/main/i1219/repro
cna@vuldb.com
https://github.com/wren-lang/wren/
cna@vuldb.com
https://github.com/wren-lang/wren/issues/1219
cna@vuldb.com
https://vuldb.com/?ctiid.348272
cna@vuldb.com
https://vuldb.com/?id.348272
cna@vuldb.com
https://vuldb.com/?submit.761306
cna@vuldb.com