Sintesi

Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2024-29510 – già sanata dal vendor – presente in Ghostscript, suite di strumenti in grado di interpretare il linguaggio PostScript, tipicamente utilizzato per la conversione di documenti e immagini.

Tipologia

• Arbitrary Code Execution
• Information Disclosure

Descrizione e potenziali impatti

È stato recentemente rilevato un Proof of Concept (PoC) per la vulnerabilità CVE-2024-29510, di tipo “Memory Corruption” e con score CVSS v3.x pari a 5.5, che interessa la componente uniprint.

Tramite l’utilizzo di stringhe opportunamente predisposte potrebbe essere possibile effettuare il bypass della sandbox -dSAFER di Ghostscript ed eseguire codice arbitrario sulle istanze interessate.

Prodotti e versioni affette

Ghostscript, versioni precedenti alla 10.03.1

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti vulnerabili all’ultima versione disponibile.

Identificatori univoci vulnerabilità

CVE-2024-29510

Riferimenti

https://www.ghostscript.com/

https://ghostscript.com/releases/gsdnld.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.