Plattform
c
Komponente
editorconfig-core-c
Behoben in
0.12.12
CVE-2026-40489 describes a stack-based buffer overflow vulnerability found in editorconfig-core-c, a core library for EditorConfig parsing. This flaw allows an attacker to crash applications utilizing the library by providing a specially crafted directory structure and .editorconfig file, resulting in a denial-of-service condition. The vulnerability affects versions 0.12.0 up to, but not including, 0.12.11, and a fix is available in version 0.12.11.
CVE-2026-40489 betrifft die Bibliothek editorconfig-core-c, eine Kernbibliothek, die von Plugins verwendet wird, die EditorConfig-Parsing unterstützen. Versionen bis einschließlich 0.12.10 enthalten einen Stapelüberlauf in der Funktion ecglob(). Ein Angreifer kann diese Schwachstelle ausnutzen, um jede Anwendung zum Absturz zu bringen, die libeditorconfig verwendet, indem er eine speziell gestaltete Verzeichnisstruktur und eine .editorconfig-Datei bereitstellt. Es ist wichtig zu beachten, dass diese Schwachstelle eine unvollständige Behebung von CVE-2023-0341 darstellt, da der pcrestr-Puffer in 0.12.6 geschützt wurde, der angrenzende l_pattern[8194]-Stapelpuffer jedoch keinen äquivalenten Schutz erhielt und somit anfällig bleibt.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer die Kontrolle über die Verzeichnisstruktur und den Inhalt der .editorconfig-Datei hat, die von der Anwendung verarbeitet wird. Dies könnte in Szenarien auftreten, in denen ein Benutzer Dateien hochladen oder die Projektkonfiguration ändern kann. Der Angreifer kann eine Verzeichnisstruktur und eine .editorconfig-Datei erstellen, die speziell gestaltete Muster enthalten, die darauf abzielen, den Pufferüberlauf in der Funktion ec_glob() auszulösen. Die Auswirkungen der Ausnutzung können von einer Denial-of-Service-Attacke (die zum Absturz der Anwendung führt) bis hin zur Ausführung von beliebigem Code reichen, abhängig von der Systemarchitektur und den implementierten Schutzmaßnahmen.
Applications and systems that rely on editorconfig-core-c for parsing .editorconfig files are at risk. This includes build systems, IDEs, and code editors that integrate with EditorConfig. Shared hosting environments where multiple users share the same server and potentially have access to each other's .editorconfig files are particularly vulnerable.
• linux / server: Monitor process crashes related to applications using editorconfig-core-c. Use journalctl to filter for errors and segmentation faults.
journalctl -u <application_name> --grep='Segmentation fault'• generic web: Examine access logs for unusual file requests related to .editorconfig files, particularly requests from unknown or suspicious sources.
grep '.editorconfig' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
Die primäre Abhilfemaßnahme für diese Schwachstelle ist die Aktualisierung auf Version 0.12.11 von editorconfig-core-c. Diese Version enthält die notwendige Behebung, um den Stapelüberlauf in ec_glob() zu verhindern. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie den Code, der libeditorconfig verwendet, um potenzielle Einstiegspunkte zu identifizieren, an denen ein Angreifer die Verzeichnisstruktur oder den Inhalt der .editorconfig-Datei manipulieren könnte. Die Implementierung einer strengen Eingabevalidierung und die Begrenzung der Komplexität von Verzeichnisstrukturen können dazu beitragen, das Risiko zu verringern. Die Überwachung der Anwendungsprotokolle auf ungewöhnliches Verhalten kann ebenfalls hilfreich sein, um potenzielle Ausnutzungsversuche zu erkennen.
Actualice a la versión 0.12.11 o posterior de la biblioteca editorconfig-core-c para mitigar el riesgo de desbordamiento del búfer de pila. Esta actualización corrige la vulnerabilidad al proteger el búfer de pila adyacente que no estaba protegido en versiones anteriores.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
EditorConfig ist ein Standard zur Aufrechterhaltung einer konsistenten Codeformatierung in verschiedenen Editoren und Entwicklungsumgebungen.
Das Update auf Version 0.12.11 behebt eine Sicherheitslücke, die es einem Angreifer ermöglichen könnte, die Anwendung zum Absturz zu bringen.
Überprüfen Sie den Code, der libeditorconfig verwendet, und wenden Sie eine strenge Eingabevalidierung an.
Überwachen Sie die Anwendungsprotokolle auf ungewöhnliches Verhalten.
Ja, es handelt sich um eine unvollständige Behebung von CVE-2023-0341, die einen in Version 0.12.6 nicht behobenen Aspekt adressiert.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.