STMicroelectronics X-CUBE-AZRTOS HTTP服务器整数下溢漏洞(CVE-2024-50594/50595)

关键漏洞信息 漏洞编号 CVE-2024-50594 CVE-2024-50595 漏洞描述 CVE-2024-50594: STMicroelectronics X-CUBE-AZRTOS-F7 HTTP server chunked PUT request integer underflow vulnerability。 - 存在于HTTP服务器PUT请求功能中，攻击者可以通过发送恶意数据包触发整数下溢，导致服务拒绝。 CVE-2024-50595: NetX Duo Web Component HTTP Server中的漏洞。 - 影响NetX Duo Web Component HTTP Server实现，可能导致服务拒绝。 受影响版本 STMicroelectronics X-CUBE-AZRTOS-WL 1.0.0 STMicroelectronics X-CUBE-AZRTOS-F4 1.1.0 STMicroelectronics X-CUBE-AZRTOS-G0 1.1.0 STMicroelectronics X-CUBE-AZRTOS-L4 1.4.0.0 STMicroelectronics X-CUBE-AZRTOS-L5 2.0.0 STMicroelectronics X-CUBE-AZRTOS-WB 2.0.0 STMicroelectronics X-CUBE-AZRTOS-F7 3.1.0 CVSS评分 CVE-2024-50594: 4.3 (AV:N/AC:L/PR:UN/UI:NI/S:U/C:N/I:N/A:L) CWE类型 CWE-191: Integer Underflow (Wrap or Wraparound) 缓解措施 开发人员可以通过在应用程序回调请求通知函数中结束PUT请求的处理来禁用PUT请求的处理。 时间线 2024-11-04: 厂商披露 2024-02-27: 厂商补丁发布 2024-04-02: 公开发布 发现者 Kelly Patterson of Cisco Talos

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

STMicroelectronics X-CUBE-AZRTOS HTTP服务器整数下溢漏洞(CVE-2024-50594/50595)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！