1-آسیبپذیری CVE-2022-28805 در زبان برنامهنویسی Lua
در تمام نسخههای زبان برنامهنویسی Lua (از ابتدا تا نسخه 5.4.4) یک آسیبپذیری بحرانی (9.1 از 10) وجود دارد. منشأ این آسیبپذیری تابعی با نام singlevar در فایل lparser.c است. عدم فراخوانی صحیح تابع luaK_exp2anyregup در این تابع، باعث آسیب¬پذیری بیش¬خوانی حافظه هیپ (Heap Based Buffer over-read) می¬گردد که در نهایت این آسیب¬پذیری منجر به کامپایل کدهای نامعتبر Lua میشود.
جدول 1. مشخصات آسیبپذیری CVE-2022-28805
|
ردیف |
عنوان |
مقدار |
|
1 |
تاریخ انتشار آسیبپذیری |
2022-04-08 |
|
2 |
تاریخ بروزسانی آسیبپذیری |
2022-04-14 |
|
2 |
شدت آسیبپذیری (طبقcvss نسخه 3) |
بحرانی (9.1 از 10) |
|
4 |
نسخه آسیبپذیر |
تا نسخه 5.4.4 |
|
5 |
نوع ضعف |
Out-of-bound Read |
منابع
- https://nvd.nist.gov/vuln/detail/CVE-2022-28805#range-7811741
- https://vuldb.com/?id.196691
- https://github.com/lua/lua/blob/master/lparser.c