Plataforma
rust
Componente
base64
Corregido en
0.5.2
0.5.2
La vulnerabilidad CVE-2017-1000430 es un desbordamiento de entero crítico descubierto en la crate base64 para el lenguaje de programación Rust. Este fallo permite a un atacante escribir más allá de los límites de un buffer asignado, lo que puede resultar en corrupción de memoria y, potencialmente, la ejecución de código arbitrario. La vulnerabilidad afecta a versiones de la crate base64 anteriores a la 0.5.2 y ha sido corregida en esta versión.
Un atacante puede explotar esta vulnerabilidad proporcionando una cadena de entrada de gran tamaño a las funciones encodeconfigbuf o encode_config. El desbordamiento de entero resultante provocará que se asigne un buffer de tamaño insuficiente. La escritura posterior a este buffer, realizada a través de código unsafe, sobrescribirá la memoria adyacente, lo que podría permitir la ejecución de código malicioso. La severidad de este fallo es alta debido a su potencial para comprometer la integridad y confidencialidad del sistema. Aunque no se han reportado casos de explotación pública, la naturaleza crítica de la vulnerabilidad y la amplia adopción de la crate base64 la convierten en un objetivo atractivo para los atacantes.
La vulnerabilidad CVE-2017-1000430 fue publicada el 3 de mayo de 2017. Actualmente no se encuentra en el catálogo KEV de CISA. No se han identificado públicamente exploits activos o campañas dirigidas a esta vulnerabilidad. Sin embargo, dada la naturaleza crítica del desbordamiento de entero y la amplia adopción de la crate base64, existe un riesgo potencial de explotación futura.
Applications written in Rust that utilize the base64 crate are at risk. This includes projects relying on base64 encoding for data transmission, storage, or authentication. Specifically, applications that handle untrusted input data without proper validation are particularly vulnerable.
• rust/supply-chain:
cargo audit --target base64• rust/supply-chain:
cargo tree | grep base64• generic web: Inspect application logs for unusual memory access patterns or crashes related to base64 encoding operations. Look for errors indicating buffer overflows or memory corruption.
disclosure
Estado del Exploit
EPSS
0.48% (65% percentil)
Vector CVSS
La mitigación principal para CVE-2017-1000430 es actualizar la crate base64 a la versión 0.5.2 o superior, que incluye la corrección para este desbordamiento de entero. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación estricta del tamaño de la entrada antes de codificarla en base64. Aunque no es una solución completa, esto puede ayudar a reducir el riesgo de explotación. Monitoree los registros del sistema en busca de patrones de comportamiento inusuales que puedan indicar un intento de explotación. No existen reglas WAF o proxies específicas para esta vulnerabilidad, ya que la explotación ocurre a nivel de la crate.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-1000430 is a critical vulnerability in the Rust base64 crate where an integer overflow can lead to a buffer overflow, potentially allowing arbitrary code execution.
You are affected if your Rust project uses the base64 crate in a version prior to 0.5.2. Check your Cargo.toml file to determine your version.
Upgrade the base64 crate to version 0.5.2 or later using cargo update base64.
While no active exploitation campaigns have been definitively linked, the potential for arbitrary code execution makes it a high-priority concern.
Refer to the Rust security advisory and the base64 crate's release notes for details: [https://rustsec.org/](https://rustsec.org/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Cargo.lock y te decimos al instante si estás afectado.