SwiftNIO SSL 任意代码执行漏洞 · CVE-2019-8849

漏洞详情

包名：

• swift
• github.com/apple/swift-nio-ssl （Swift）

受影响版本：

= 2.0.0, < 2.4.1

已修复版本： 2.4.1

描述： 使用TLS的SwiftNIO应用程序可能能够执行任意代码。该问题通过发出信号表明不需要可执行栈来解决。此问题已在 SwiftNIO SSL 2.4.1 中修复。

参考信息：

• https://nvd.nist.gov/vuln/detail/CVE-2019-8849
• https://support.apple.com/HT210772
• apple/swift-nio-ssl@109faef
• https://github.com/apple/swift-nio-ssl/releases/tag/2.4.1
• https://security.snyk.io/vuln/SNYK-COCOAPODS-SWIFTNIOSSL-8492737

发布信息

• 由国家漏洞数据库发布： 2019年12月18日
• 发布至 GitHub Advisory Database： 2022年5月24日
• 审核时间： 2023年6月6日
• 最后更新： 2025年8月5日

严重程度

严重性： 严重 CVSS 总体评分： 9.8 / 10

CVSS v3 基础指标

此评分根据通用漏洞评分系统（CVSS）计算整体漏洞严重程度，范围从0到10。

• 攻击向量： 网络
• 攻击复杂度： 低
• 所需权限： 无
• 用户交互： 无
• 作用域： 未改变
• 机密性影响： 高
• 完整性影响： 高
• 可用性影响： 高

CVSS:3.1 向量： AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

EPSS 分数

漏洞利用预测评分系统（EPSS）分数： 0.593% 此分数估计此漏洞在未来30天内被利用的概率。数据由 FIRST 提供。

弱点

无 CWE 标识

标识符

• CVE ID: CVE-2019-8849
• GHSA ID: GHSA-frg3-gpcx-968f

源代码

apple/swift-nio-ssl

致谢

分析师：morningstarxcdcode

注意： 此公告已被编辑。参见历史记录。