Remote Code Execution (RCE)

2022-12-0610:15:53

Veracode Vulnerability Database

sca.analysiscenter.veracode.com

remote code execution

sysstat

vulnerability

arithmetic multiplication

malicious query parameters

attacker

0.004 Low

EPSS

Percentile

72.2%

JSON

sysstat is vulnerable to remote code execution. The vulnerability exists in allocate_structures function of sa_common.c due to insufficiently checks bounds before arithmetic multiplication which allows an attacker to inject and execute malicious query parameters.

CPENameOperatorVersion
sysstat:develeq12.5.2-2
sysstat:develeq12.4.0-1
sysstat:bioniceq11.6.1-1ubuntu0.1
sysstat:sideq12.5.2-2
sysstat:sideq12.4.0-1
sysstateq10.1.5__19.el7
sysstateq11.7.3__2.el8
sysstateq10.1.5__17.el7
sysstateq10.1.5__18.el7_7.1
sysstateq10.1.5__17.el7_6.1

Name	Operator	Version
sysstat:devel	eq	12.5.2-2
sysstat:devel	eq	12.4.0-1
sysstat:bionic	eq	11.6.1-1ubuntu0.1
sysstat:sid	eq	12.5.2-2
sysstat:sid	eq	12.4.0-1
sysstat	eq	10.1.5__19.el7
sysstat	eq	11.7.3__2.el8
sysstat	eq	10.1.5__17.el7
sysstat	eq	10.1.5__18.el7_7.1
sysstat	eq	10.1.5__17.el7_6.1