关键漏洞信息 漏洞概述 漏洞类型: 堆缓冲区溢出(Heap Buffer Overflow) 受影响的函数: 文件: 行号: 298 总结 问题: 在通过 工具将畸形的 XML 转换为 ICC 配置文件时,存在堆缓冲区溢出(读取)。 PoC Replay: - 步骤 1: 使用提供的 XML 文件进行测试。 - 步骤 2: 使用 工具执行堆缓冲区溢出操作。 预期输出: 提供了详细的堆缓冲区溢出的错误日志和内存地址。 影响 安全性: ICC 配置文件注入漏洞会导致用户可控输入以不安全的方式融入 ICC 配置文件数据或其他结构化的二进制数据块中,进而可能引发攻击。 具体危害: - 修改标签表、偏移量或大小字段。 - 触发解析错误或内存损坏。 - 篡改依赖配置文件元数据的逻辑。 - 引发拒绝服务。 - 达成任意代码执行。 CVSS 评分 值: 7.8 等级: 高(High) CWE 标识 CWE-122: 堆溢出 CWE-787: 越界写入 CWE-119: 缓冲区溢出 测试环境 主机: Linux 6.6.87.2-microsoft-standard-WSL2 源码版本: (HEAD -> master) 解决方案 已修复提交: 被指派处理: 相关参考 CVE: CVE-2022-26730, CVE-2021-30942, CVE-2021-30941