CVE-2025-10158

Rsync: Out of bounds array access via negative index

CVSS 4.3 MEDIUMEPSS 0.3%CWE-129

Vexday Risk Score

13Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 4.3EPSS 0.3%KEV nãoPoC —Nuclei —Metasploit —Patch referenciado

Ciclo de vida

18 nov 2025Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

A malicious client acting as the receiver of an rsync file transfer can trigger an out of bounds read of a heap based buffer, via a negative array index. The malicious rsync client requires at least read access to the remote rsync module in order to trigger the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Productos afectados

rsync · rsync

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://attackerkb.com/assessments/fbacb2a6-d1cd-4011-bb3a-f06b1c8306b1 https://github.com/RsyncProject/rsync/commit/797e17fc4a6f15e3b1756538a9f812b63942686f