SwiftNIO SSL任意代码执行漏洞 · CVE-2019-8849

漏洞详情

包名称: swift
项目地址: github.com/apple/swift-nio-ssl (Swift)

受影响版本

= 2.0.0, < 2.4.1

已修复版本

2.4.1

漏洞描述

使用TLS的SwiftNIO应用程序可能能够执行任意代码。该问题通过发出不需要可执行堆栈的信号得到解决。此漏洞在SwiftNIO SSL 2.4.1版本中修复。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2019-8849
• https://support.apple.com/HT210772
• apple/swift-nio-ssl@109faef
• https://github.com/apple/swift-nio-ssl/releases/tag/2.4.1
• https://security.snyk.io/vuln/SNYK-COCOAPODS-SWIFTNIOSSL-8492737

安全信息

严重程度

严重
CVSS总体评分：9.8/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高

CVSS向量字符串

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

EPSS评分

0.593% (第68百分位)

发布信息

• 国家漏洞数据库发布: 2019年12月18日
• GitHub咨询数据库发布: 2022年5月24日
• 审核时间: 2023年6月6日
• 最后更新: 2025年8月5日

标识符

• CVE ID: CVE-2019-8849
• GHSA ID: GHSA-frg3-gpcx-968f

源代码

apple/swift-nio-ssl

致谢

morningstarxcdcode - 分析师