Vulnerabilidades
Vulnerabilidad de cadena de formato
También conocido como: Bug de formato printf
Definición
Fallo causado por pasar entrada controlada por el usuario como cadena de formato a funciones tipo printf, permitiendo lecturas o escrituras arbitrarias en memoria.
Ejemplos
- CVE-2000-0573 (wu-ftpd): cadena de formato en site exec, root remoto.
- Routers embebidos que registran directamente en syslog con campos controlados por el atacante.
Términos relacionados
Corrupción de memoria
Término paraguas para vulnerabilidades en las que un programa escribe fuera de los límites previstos, comprometiendo seguridad de tipos, flujo de control o integridad de datos.
Secure Coding
Secure Coding — definition coming soon.
Desbordamiento de búfer
Fallo de seguridad de memoria en el que un programa escribe más allá del final de un búfer asignado, corrompiendo memoria adyacente y a menudo permitiendo ejecución de código.
Vulnerabilidad
Debilidad en un sistema, aplicación o proceso que un atacante puede explotar para vulnerar la confidencialidad, integridad o disponibilidad.
Exploit
Código, datos o técnica que aprovecha una vulnerabilidad para provocar un comportamiento no previsto, como ejecución de código, escalada de privilegios o fuga de información.
SAST (Pruebas estáticas de seguridad de aplicaciones)
Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.