一、 漏洞 CVE-2024-31081 基础信息
漏洞标题
Xorg-x11-server:procxipassivegrabdevice中的堆缓冲区溢出/数据泄露
来源:AIGC 神龙大模型
漏洞描述信息
X.org服务器的ProcXIPassiveGrabDevice()函数中发现了一个基于堆的缓冲区溢出漏洞。当在回复中使用字节对换的长度值时,会出现这个问题,这可能会导致内存泄漏和段错误,特别是当由字节序不同的客户端触发时。攻击者可以利用这个漏洞使得X服务器读取堆内存值,然后将这些值回传给客户端,直到遇到未映射的页面,从而导致崩溃。尽管攻击者无法控制复制到回复中的具体内存,但通常存储在32位整数中的小长度值可能导致大量的越界读取尝试。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
Xorg-x11-server: heap buffer overread/data leakage in procxipassivegrabdevice
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A heap-based buffer over-read vulnerability was found in the X.org server's ProcXIPassiveGrabDevice() function. This issue occurs when byte-swapped length values are used in replies, potentially leading to memory leakage and segmentation faults, particularly when triggered by a client with a different endianness. This vulnerability could be exploited by an attacker to cause the X server to read heap memory values and then transmit them back to the client until encountering an unmapped page, resulting in a crash. Despite the attacker's inability to control the specific memory copied into the replies, the small length values typically stored in a 32-bit integer can result in significant attempted out-of-bounds reads.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
缓冲区上溢读取
来源:美国国家漏洞数据库 NVD
漏洞标题
X.org server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
X.org Server是X.org基金会的一个开放源代码的自由软件。 X.org server存在安全漏洞,该漏洞源于ProcXIPassiveGrabDevice函数存在缓冲区溢出漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-31081 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-31081 的情报信息