← voltar
CVE-2021-43666

CVE-2021-43666

CVSS 7.5 HIGHEPSS 2.1%CWE-130
Em resumo

Uma falha na biblioteca mbed TLS permite que um atacante derrube o sistema fornecendo uma senha vazia à função de derivação de senha. Isso pode interromper serviços que usam essa biblioteca para operações de criptografia.

Detalhe técnico

Um erro de desreferência de ponteiro nulo ou manipulação inadequada de buffer na função mbedtls_pkcs12_derivation ocorre ao processar senhas com comprimento zero, permitindo que um atacante não autenticado cause uma negação de serviço. A vulnerabilidade afeta mbed TLS versão 3.0.0 e anteriores; a exploração requer invocar a função vulnerável com um parâmetro de senha vazia.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier in the mbedtls_pkcs12_derivation function when an input password's length is 0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/ARMmbed/mbedtls/issues/5136https://lists.debian.org/debian-lts-announce/2022/12/msg00036.htmlhttps://lists.debian.org/debian-lts-announce/2025/06/msg00034.html