ID CVE-2021-3578
Summary A flaw was found in mbsync before v1.3.6 and v1.4.2, where an unchecked pointer cast allows a malicious or compromised server to write an arbitrary integer value past the end of a heap-allocated structure by issuing an unexpected APPENDUID response. This could be plausibly exploited for remote code execution on the client.
References
Vulnerable Configurations
  • cpe:2.3:a:isync_project:isync:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.1:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.2:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.3:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.4:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.5:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.6:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.7:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:0.8:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:isync_project:isync:1.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:isync_project:isync:1.3.5:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
CVSS
Base: 7.2 (as of 18-10-2022 - 20:39)
Impact:
Exploitability:
CWE CWE-704
CAPEC
Access
VectorComplexityAuthentication
LOCAL LOW NONE
Impact
ConfidentialityIntegrityAvailability
COMPLETE COMPLETE COMPLETE
cvss-vector via4 AV:L/AC:L/Au:N/C:C/I:C/A:C
Last major update 18-10-2022 - 20:39
Published 16-02-2022 - 19:15
Last modified 18-10-2022 - 20:39
Back to Top