一、 漏洞 CVE-2024-51569 基础信息
漏洞标题
Apache NimBLE: 数字完成数据包 HCI 事件处理程序中的输入未经过滤导致越界读取
来源:AIGC 神龙大模型
漏洞描述信息
Apache NimBLE 中存在越界读取漏洞。 由于缺少对 HCI Number Of Completed Packets 的适当验证,在解析 HCI 事件和从 HCI 传输内存中读取数据时可能导致越界访问。此问题需要存在损坏或伪造的蓝牙控制器,因此漏洞严重程度较低。该问题影响 Apache NimBLE 1.7.0 及以下版本。 建议用户升级到 1.8.0 版本以修复该问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
Apache NimBLE: Lack of input sanitization leading to out-of-bound reads in Number of Completed Packets HCI event handler
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Out-of-bounds Read vulnerability in Apache NimBLE. Missing proper validation of HCI Number Of Completed Packets could lead to out-of-bound access when parsing HCI event and invalid read from HCI transport memory. This issue requires broken or bogus Bluetooth controller and thus severity is considered low. This issue affects Apache NimBLE: through 1.7.0. Users are recommended to upgrade to version 1.8.0, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache NimBLE 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache NimBLE是美国阿帕奇(Apache)基金会的一个开源蓝牙 5.4 堆栈(主机和控制器),完全取代 Nordic 芯片组上的专有 SoftDevice。它是Apache Mynewt 项目的一部分。 Apache NimBLE 1.7.0版本及之前版本存在安全漏洞,该漏洞源于如果未正确验证 HCI 已完成数据包数,则在解析 HCI 事件时可能会导致越界访问,以及从 HCI 传输内存中读取无效数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51569 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-51569 的情报信息

  • 标题: CVE-2024-51569: Apache NimBLE: Lack of input sanitization leading to out-of-bound reads in Number of Completed Packets HCI event handler-Apache Mail Archives -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    CVE-2024-51569: Apache NimBLE: Lack of input sanitization leading to out-of-bound reads in Number of Completed Packets HCI event handler-Apache Mail Archives

  • 标题: nimble/host: Add Number Complete Packets event validation · apache/mynewt-nimble@4e3ac5b · GitHub -- 🔗来源链接

    标签: patch

    nimble/host: Add Number Complete Packets event validation · apache/mynewt-nimble@4e3ac5b · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-51569