CVE-2025-10158

Rsync: Out of bounds array access via negative index

CVSS 4.3 MEDIUMEPSS 0.3%CWE-129

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 4.3EPSS 0.3%KEV nãoPoC —Nuclei —Metasploit —Patch referenciado

Ciclo de vida

18 nov 2025Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

A malicious client acting as the receiver of an rsync file transfer can trigger an out of bounds read of a heap based buffer, via a negative array index. The malicious rsync client requires at least read access to the remote rsync module in order to trigger the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Produtos afetados

rsync · rsync

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://attackerkb.com/assessments/fbacb2a6-d1cd-4011-bb3a-f06b1c8306b1 https://github.com/RsyncProject/rsync/commit/797e17fc4a6f15e3b1756538a9f812b63942686f