SwiftNIO SSL 任意代码执行漏洞 · CVE-2019-8849

漏洞详情

包 swift github.com/apple/swift-nio-ssl (Swift)

受影响版本

= 2.0.0, < 2.4.1

已修复版本 2.4.1

描述 一个使用TLS的SwiftNIO应用程序可能能够执行任意代码。该问题通过发出不需要可执行堆栈的信号得以解决。此问题已在SwiftNIO SSL 2.4.1中修复。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2019-8849
• https://support.apple.com/HT210772
• apple/swift-nio-ssl@109faef
• https://github.com/apple/swift-nio-ssl/releases/tag/2.4.1
• https://security.snyk.io/vuln/SNYK-COCOAPODS-SWIFTNIOSSL-8492737

发布时间线

• 由国家漏洞数据库发布： 2019年12月18日
• 发布至GitHub咨询数据库： 2022年5月24日
• 审核时间： 2023年6月6日
• 最后更新： 2025年8月5日

严重程度 严重 CVSS 总分：9.8 / 10

CVSS v3 基础指标

• 攻击向量： 网络
• 攻击复杂度： 低
• 所需权限： 无
• 用户交互： 无
• 影响范围： 未改变
• 机密性影响： 高
• 完整性影响： 高
• 可用性影响： 高

CVSS向量字符串 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

EPSS 分数 0.593% (第68百分位) （此分数估计了此漏洞在未来30天内被利用的概率。数据由FIRST提供。）

弱点 无CWE条目

标识符

• CVE ID: CVE-2019-8849
• GHSA ID: GHSA-frg3-gpcx-968f

源代码 apple/swift-nio-ssl

致谢 morningstarxcdcode Analyst

（此咨询已编辑。请参阅历史记录。）