一、 漏洞 CVE-2024-8948 基础信息
漏洞标题
MicroPython中的objint.c mpz_as_bytes函数基于堆的溢出
来源:AIGC 神龙大模型
漏洞描述信息
在MicroPython 1.23.0中发现了一个漏洞,它被评估为严重。此问题影响文件py/objint.c中的函数mpz_as_bytes。该操作可能导致堆基缓冲区溢出。攻击可以从远程发起。漏洞已被公开披露,可以被利用。补丁标识为908ab1ceca15ee6fd0ef82ca4cba770a3ec41894。建议应用补丁以修复此问题。在micropython objint组件中,将零从int转换为字节会导致mpz_as_bytes的堆缓冲区溢出写操作。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨界内存写
来源:AIGC 神龙大模型
漏洞标题
MicroPython objint.c mpz_as_bytes heap-based overflow
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in MicroPython 1.23.0. It has been rated as critical. Affected by this issue is the function mpz_as_bytes of the file py/objint.c. The manipulation leads to heap-based buffer overflow. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The patch is identified as 908ab1ceca15ee6fd0ef82ca4cba770a3ec41894. It is recommended to apply a patch to fix this issue. In micropython objint component, converting zero from int to bytes leads to heap buffer-overflow-write at mpz_as_bytes.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
堆缓冲区溢出
来源:美国国家漏洞数据库 NVD
漏洞标题
MicroPython 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MicroPython是MicroPython开源的一个小型的开源Python编程语言解释器。 MicroPython 1.23.0版本存在安全漏洞,该漏洞源于py/objint.c文件中的mpz_as_bytes函数,在将整数转换为字节时会导致堆缓冲区溢写出错。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8948 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-8948 的情报信息

  • 标题: heap-buffer-overflow: from 0 length int_to_bytes · Issue #13041 · micropython/micropython · GitHub -- 🔗来源链接

    标签: exploit issue-tracking

    heap-buffer-overflow: from 0 length int_to_bytes · Issue #13041 · micropython/micropython · GitHub

  • 标题: py/objint: Fix int.to_bytes() buffer size checks. · micropython/micropython@908ab1c · GitHub -- 🔗来源链接

    标签: patch

    py/objint: Fix int.to_bytes() buffer size checks. · micropython/micropython@908ab1c · GitHub

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: Submit #409317: micropython v1.23.0 Buffer Overflow -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #409317: micropython v1.23.0 Buffer Overflow

  • 标题: CVE-2024-8948 MicroPython objint.c mpz_as_bytes heap-based overflow (Issue 13041) -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2024-8948 MicroPython objint.c mpz_as_bytes heap-based overflow (Issue 13041)
  • https://nvd.nist.gov/vuln/detail/CVE-2024-8948