V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-24738
CVE
Средний

gmrtd - это библиотека Go для чтения машинночитаемых проездных документов (MRTD). До версии 0.17.2 ReadFile принимает TLV с длинами, которы…

CVSS
5.9
Средний
EPSS
0.00
p17
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

gmrtd - это библиотека Go для чтения машинночитаемых проездных документов (MRTD). До версии 0.17.2 ReadFile принимает TLV с длинами, которые могут варьироваться до 4 ГБ, что может вызвать неограниченное потребление ресурсов как в циклах памяти, так и в циклах процессора. RedFile может потреблять расширенный TLV с длиной, выходящими за рамки того, что будет доступно в ИС. Он может принимать что-то до 4 ГБ, что займет слишком много итераций в 256 байт-кубах, а также попытается выделить память, которая может быть недоступна в ограниченных средах, таких как телефоны. Или, если API отправляет данные в ReadFile, та же проблема применима. Очень маленькое считыватель также блокирует гороутин при приеме данных для очень большого количества итераций. проекты, использующие библиотеку gmrtd для чтения файлов из NFC, могут испытывать экстремальные замедления или потребление памяти. Вредоносный NFC может вести себя так же, как имитационный приемопередатчик, описанный выше, и, просто отправляя багменты, как каждый кусок для чтения, может сделать приемную нить невосприимчивой и заполнить память в системе хоста. Версия 0.17.2 латирует проблему.

Теги · CWE
CWE-400
CAPEC-147
CAPEC-227
CAPEC-492
Затронутые продукты
Gmrtd < 0.17.2
Вектор CVSS
CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: A
Смежная сеть (A)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: P
Passive
Конфиденциальность уязвимой системы
VC: N
Отсутствует (N)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.003 · p17
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
gmrtd*Отслеживается