Уязвимость BDU:2025-14814

Идентификатор: BDU:2025-14814.

Наименование уязвимости: Уязвимость платформы OpenVM, связанная с некорректными вычислениями размера выделяемого буфера, позволяющая нарушителю заставить регистр назначения принять другое значение.

Описание уязвимости: Уязвимость платформы OpenVM связана с некорректными вычислениями размера выделяемого буфера в байтовом разложении pc в чипе AUIPC. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, заставить регистр назначения принять другое значение
Уязвимое ПО: Прикладное ПО информационных систем Axiom OpenVM 1.0.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 02.05.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)
Высокий уровень опасности (оценка CVSS 4.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/openvm-org/openvm/security/advisories/GHSA-jf2r-x3j4-23m7.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-46723. GHSA-jf2r-x3j4-23m7.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2025-46723
https://github.com/openvm-org/openvm/blob/0f94c8a3dfa7536c1231465d1bdee5fc607a5993/extensions/rv32im/circuit/src/auipc/core.rs#L135
https://github.com/openvm-org/openvm/commit/68da4b50c033da5603517064aa0a08e1bbf70a01
https://github.com/openvm-org/openvm/releases/tag/v1.1.0
https://github.com/openvm-org/openvm/security/advisories/GHSA-jf2r-x3j4-23m7