Suricata
Уязвимости
84
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.29534
Распределение по критичности
Критический
12
Высокий
57
Средний
15
Низкий
0
Также сопоставлено как (исходные строки): suricata
Топ уязвимостей
CVE-2026-22262Suricata - это сетевой IDS, IPS и NSM-движитель. При сохранении набора данных для подготовки данных используется буфер стека. До версий 8.0.3 и 7.0.14, если данные в наборе данных слишком велики, это может привести к переполнению стека. Версии 8.0.3 и 7.0.14 содержат патч. В качестве обходного процесса не используйте правила с наборами данных `save` или `state` варианты.
CVE-2023-35853В Suricata до версии 6.0.13 злоумышленник, контролирующий внешний источник правил Lua, может быть в состоянии выполнить код Lua. Эта проблема решена в версии 6.0.13 путем отключения Lua, если только allow-rules не имеет значения true в разделе конфигурации безопасности lua.
CVE-2021-37592Suricata до версий 5.0.8 и 6.x до 6.0.4 допускает обход TCP через клиент с созданным стеком TCP/IP, который может отправлять определенную последовательность сегментов.
CVE-2019-16411Проблема обнаружена в Suricata 4.1.4. Отправляя несколько пакетов IPv4, содержащих недопустимые IPv4Options, функция IPV4OptValidateTimestamp в decode-ipv4.c пытается получить доступ к области памяти, которая не выделена. Существует проверка o->len < 5 (соответствует 2 байтам заголовка и 3 байтам данных). Затем "flag = *(o->data + 3)" помещает один за пределы 3 байтов, потому что код должен был быть "flag = *(o->data + 1)" вместо этого.
CVE-2019-10053Проблема обнаружена в Suricata 4.1.x до версии 4.1.4. Если входные данные функции SSHParseBanner состоят только из символа \n, то программа попадает в ситуацию переполнения буфера на основе кучи. Это происходит потому, что ошибочный поиск \r приводит к целочисленному переполнению.
CVE-2018-10244Suricata версии 4.0.4 некорректно обрабатывает разбор EtherNet/IP PDU. Неправильно сформированный PDU может привести к тому, что код разбора будет читать за пределами выделенных данных, поскольку DecodeENIPPDU в app-layer-enip-commmon.c имеет переполнение целого числа во время проверки длины.
CVE-2018-10243htp_parse_authorization_digest в htp_parsers.c в LibHTP 0.5.26 позволяет удаленным злоумышленникам вызывать переполнение буфера на основе кучи через заголовок authorization digest.
CVE-2015-8954Функция MemcmpLowercase в Suricata до версии 2.0.6 неправильно исключает первый байт из сравнений, что может позволить удаленным злоумышленникам обойти функциональность предотвращения вторжений через специально созданный HTTP-запрос.
CVE-2026-22264Suricata - это сетевой двигатель IDS, IPS и NSM. До версий 8.0.3 и 7.0.14 неподписанный перелив целых чисел может привести к употреблению кучи после бесплатного при генерации чрезмерного количества предупреждений для одного пакета. Версии 8.0.3 и 7.0.14 содержат патч. В качестве обходного процесса не запускайте ненадеженные правила или бегайте с менее чем 65536 подписями, которые могут соответствовать на одном и том же пакете.
CVE-2019-18792Обнаружена проблема в Suricata 5.0.0. Можно обойти/уклониться от любой сигнатуры на основе tcp, перекрывая TCP-сегмент с поддельным пакетом FIN. Поддельный пакет FIN вставляется непосредственно перед пакетом PUSH ACK, который мы хотим обойти. Пакет PUSH ACK (содержащий данные) будет проигнорирован Suricata, потому что он перекрывает пакет FIN (номер последовательности и подтверждения идентичны в двух пакетах). Клиент проигнорирует поддельный пакет FIN, потому что флаг ACK не установлен. И клиенты Linux, и клиенты Windows игнорируют вставленный пакет.
CVE-2019-16410Проблема обнаружена в Suricata 4.1.4. Отправляя несколько фрагментированных пакетов IPv4, функция Defrag4Reassemble в defrag.c пытается получить доступ к области памяти, которая не выделена, из-за отсутствия проверки header_len.
CVE-2019-15699Обнаружена проблема в app-layer-ssl.c в Suricata 4.1.4. При получении поврежденного пакета SSLv3 (TLS 1.2) функция разбора TLSDecodeHSHelloExtensions пытается получить доступ к области памяти, которая не выделена, поскольку ожидаемая длина HSHelloExtensions не соответствует реальной длине части HSHelloExtensions пакета.
CVE-2024-23839Suricata — это система обнаружения нарушений в сети, система предотвращения нарушений и движок мониторинга сетевой безопасности. До 7.0.3 специально подготовленный трафик может вызвать использование кучи после освобождения, если правила используют ключевые слова http.request_header или http.response_header. Уязвимость была исправлена в 7.0.3. Чтобы обойти уязвимость, избегайте ключевых слов http.request_header и http.response_header.
CVE-2026-31937Отказ в обслуживании в Suricata
CVE-2026-31935Отказ в обслуживании в Suricata
CVE-2026-31934Отказ в обслуживании в Suricata
CVE-2026-31933Отказ в обслуживании в Suricata
CVE-2026-31932Отказ в обслуживании в Suricata
CVE-2026-31931Suricata - это сетевой IDS, IPS и NSM-движок. От версии 8.0.0 до версии 8.0.4, использование ключевого слова правила «tls.alpn» может привести к тому, что Suricata разобьется с NULL. Эта проблема была исправлена в версии 8.0.4.
CVE-2026-22260Отказ в обслуживании в Suricata
CVE-2026-22259Отказ в обслуживании в Suricata
CVE-2026-22258Отказ в обслуживании в Suricata
CVE-2025-64344Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 работа с большими буферами в скриптах Lua может привести к переполнению стека. Пользователи правил Lua и скриптов выводов могут быть затронуты при работе с большими буферами. Это включает в себя правило, передающее большой буфер сценарию Луа. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя отключение правил Lua и выведенных скриптов или обеспечение того, чтобы ограничения, такие как resdepth.depth.reassemly и ограничения тела ответа HTTP (ответ-теле-предель, были установлены менее чем в половине размера стека.
CVE-2025-64335Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. В версиях с 8.0.0 до 8.0.2, NULL может возникать дериференция NULL, когда ключевое слово энтропии используется в сочетании с base64_data. Эта проблема была исправлена в версии 8.0.2. Обход включает в себя отключение правил, которые используют энтропию в сочетании с base64_data.
CVE-2025-64334Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. В версиях от 8.0.0 до 8.0.2 сжатые данные HTTP могут привести к несдержанному росту памяти во время декомпрессии. Эта проблема была исправлена в версии 8.0.2. Обходной механизм включает отключение декомпрессии LZMA или ограничение размера ответа-лимата тела.