آسیب‌پذیری در زبان برنامه‌نویسی Lua

آسیب‌پذیری در زبان برنامه‌نویسی Lua 1-آسیب‌پذیری CVE-2022-28805 در زبان برنامه‌نویسی Lua در تمام نسخه‌های زبان برنامه‌نویسی Lua (از ابتدا تا نسخه 5.4.4) یک آسیب‌پذیری بحرانی (9.1 از 10) وجود دارد. منشأ این آسیب‌پذیری تابعی با نام singlevar در فایل lparser.c است. عدم فراخوانی صحیح تابع luaK_exp2anyregup در این تابع، باعث آسیب¬پذیری بیش¬خوانی حافظه هیپ (Heap Based Buffer over-read) می¬گردد که در نهایت این آسیب¬پذیری منجر به کامپایل کدهای نامعتبر Lua می‌شود.

جدول 1. مشخصات آسیب‌پذیری CVE-2022-28805

ردیف

عنوان

مقدار

1

تاریخ انتشار آسیب‌پذیری

2022-04-08

2

تاریخ بروزسانی آسیب­پذیری

2022-04-14

2

شدت آسیب­پذیری (طبقcvss  نسخه 3)

بحرانی (9.1 از 10)

4

نسخه‌ آسیب‌پذیر

تا نسخه 5.4.4

5

نوع ضعف

Out-of-bound Read

 

منابع

 

Computer Emergency Response Team (CERT) of Mohaghegh Ardabili as a Cyber security Laboratory has started its activity in various cyber-sec fields such as cyber threat hunting, digital forensics and incident response, web and network penetration testing since 2015.

This center relies on the network and system security research group of the computer engineering and information technology department and using the experience of experienced and expert professors, top graduates and elite students of Mohaghegh Ardabili University to achieve the goals of providing services to organizations, offices and companies.

سازمان فناوری اطلاعات ایران
مرکز ماهر
دانشگاه محقق اردبیلی