CVE-2021-41160 - FreeRDP is a free implementation of the Remote Desktop Protocol (RDP), released under the Apache lic

CVE-2021-41160

Summary

FreeRDP is a free implementation of the Remote Desktop Protocol (RDP), released under the Apache license. In affected versions a malicious server might trigger out of bound writes in a connected client. Connections using GDI or SurfaceCommands to send graphics updates to the client might send `0` width/height or out of bound rectangles to trigger out of bound writes. With `0` width or heigth the memory allocation will be `0` but the missing bounds checks allow writing to the pointer at this (not allocated) region. This issue has been patched in FreeRDP 2.4.1.

References

Vulnerable Configurations

cpe:2.3:a:freerdp:freerdp:-:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:-:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:rc1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:rc1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:rc2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.0.2:rc2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.1.0:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.1.0:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.1.0:beta1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.1.0:beta1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.1.0:beta2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.1.0:beta2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:-:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc0:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc0:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc2:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc3:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc3:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc4:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.0.0:rc4:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.1.2:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.1.2:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.2.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.2.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.3.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.3.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.3.1:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.3.1:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.3.2:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.3.2:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.4.0:*:*:*:*:*:*:*
cpe:2.3:a:freerdp:freerdp:2.4.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*

CVSS

Base:	6.8 (as of 07-12-2022 - 01:43)
Impact:
Exploitability:

CWE

CWE-787

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	MEDIUM	NONE

Impact

Confidentiality	Integrity	Availability
PARTIAL	PARTIAL	PARTIAL

cvss-vector via4

AV:N/AC:M/Au:N/C:P/I:P/A:P

Last major update

07-12-2022 - 01:43

Published

21-10-2021 - 19:15

Last modified

07-12-2022 - 01:43