一、 漏洞 CVE-2024-47250 基础信息
漏洞标题
Apache NimBLE: HCI广告报告中缺乏输入验证可能导致潜在的越界访问
来源:AIGC 神龙大模型
漏洞描述信息
Apache NimBLE中存在的越界读取漏洞。 在处理HCI事件时,由于缺少对HCI广告报告的正确验证,可能会导致越界访问,从而引发错误的GAP“设备发现”事件。 该问题需要存在故障或错误的蓝牙控制器,因此其严重程度较低。 该问题影响Apache NimBLE:1.7.0及以下版本。 建议用户升级到1.8.0版本,以修复该问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
Apache NimBLE: Lack of input validation in HCI advertising report could lead to potential out-of-bound access
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Out-of-bounds Read vulnerability in Apache NimBLE. Missing proper validation of HCI advertising report could lead to out-of-bound access when parsing HCI event and thus bogus GAP 'device found' events being sent. This issue requires broken or bogus Bluetooth controller and thus severity is considered low. This issue affects Apache NimBLE: through 1.7.0. Users are recommended to upgrade to version 1.8.0, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache NimBLE 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache NimBLE是美国阿帕奇(Apache)基金会的一个开源蓝牙 5.4 堆栈(主机和控制器),完全取代 Nordic 芯片组上的专有 SoftDevice。它是Apache Mynewt 项目的一部分。 Apache NimBLE 1.7.0及之前版本存在安全漏洞,该漏洞源于对HCI广告报告的验证不当,在解析HCI事件时可能会导致越界访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47250 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47250 的情报信息

  • 标题: CVE-2024-47250: Apache NimBLE: Lack of input validation in HCI advertising report could lead to potential out-of-bound access-Apache Mail Archives -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    CVE-2024-47250: Apache NimBLE: Lack of input validation in HCI advertising report could lead to potential out-of-bound access-Apache Mail Archives

  • 标题: nimble/host: Fix legacy advertising report event validation · apache/mynewt-nimble@3b7a32e · GitHub -- 🔗来源链接

    标签: patch

    nimble/host: Fix legacy advertising report event validation · apache/mynewt-nimble@3b7a32e · GitHub

  • 标题: nimble/host: Add extended advertising report event validation · apache/mynewt-nimble@23d6115 · GitHub -- 🔗来源链接

    标签: patch

    nimble/host: Add extended advertising report event validation · apache/mynewt-nimble@23d6115 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-47250