CVE-2023-52168

描述

The NtfsHandler.cpp NTFS handler in 7-Zip before 24.01 (for 7zz) contains a heap-based buffer overflow that allows an attacker to overwrite two bytes at multiple offsets beyond the allocated buffer size: buffer+512*i-2, for i=9, i=10, i=11, etc.

如何修補 CVE-2023-52168

要修補 CVE-2023-52168,請將受影響套件升級到下列已修補版本。

Debian/7zip—升級至 22.01+dfsg-8+deb12u1 或更新版本
Debian/p7zip—升級至 16.02+really25.01+dfsg-0+deb11u1 或更新版本

CVE-2023-52168 正在被利用嗎?

低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。

受影響套件(2)

from 0, < 22.01+dfsg-8+deb12u1
from 0, < 16.02+really25.01+dfsg-0+deb11u1

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH8.4	CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

參考連結(1)

ADVISORYsecurity-tracker.debian.org/tracker/CVE-2023-52168