Vulnerability Details CVE-2022-43995
Sudo 1.8.0 through 1.9.12, with the crypt() password backend, contains a plugins/sudoers/auth/passwd.c array-out-of-bounds error that can result in a heap-based buffer over-read. This can be triggered by arbitrary local users with access to Sudo by entering a password of seven characters or fewer. The impact could vary depending on the system libraries, compiler, and processor architecture.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.001
EPSS Ranking 18.4%
CVSS Severity
CVSS v3 Score 7.1
References
- https://bugzilla.redhat.com/show_bug.cgi?id=2139911
- https://github.com/sudo-project/sudo/commit/bd209b9f16fcd1270c13db27ae3329c677d48050
- https://news.ycombinator.com/item?id=33465707
- https://security.gentoo.org/glsa/202211-08
- https://www.sudo.ws/security/advisories/
- https://bugzilla.redhat.com/show_bug.cgi?id=2139911
- https://github.com/sudo-project/sudo/commit/bd209b9f16fcd1270c13db27ae3329c677d48050
- https://news.ycombinator.com/item?id=33465707
- https://security.gentoo.org/glsa/202211-08
- https://www.sudo.ws/security/advisories/
Products affected by CVE-2022-43995
-
cpe:2.3:a:sudo_project:sudo:1.8.0
-
cpe:2.3:a:sudo_project:sudo:1.8.1
-
cpe:2.3:a:sudo_project:sudo:1.8.10
-
cpe:2.3:a:sudo_project:sudo:1.8.11
-
cpe:2.3:a:sudo_project:sudo:1.8.12
-
cpe:2.3:a:sudo_project:sudo:1.8.13
-
cpe:2.3:a:sudo_project:sudo:1.8.14
-
cpe:2.3:a:sudo_project:sudo:1.8.15
-
cpe:2.3:a:sudo_project:sudo:1.8.16
-
cpe:2.3:a:sudo_project:sudo:1.8.17
-
cpe:2.3:a:sudo_project:sudo:1.8.18
-
cpe:2.3:a:sudo_project:sudo:1.8.19
-
cpe:2.3:a:sudo_project:sudo:1.8.2
-
cpe:2.3:a:sudo_project:sudo:1.8.20
-
cpe:2.3:a:sudo_project:sudo:1.8.21
-
cpe:2.3:a:sudo_project:sudo:1.8.22
-
cpe:2.3:a:sudo_project:sudo:1.8.23
-
cpe:2.3:a:sudo_project:sudo:1.8.24
-
cpe:2.3:a:sudo_project:sudo:1.8.25
-
cpe:2.3:a:sudo_project:sudo:1.8.26
-
cpe:2.3:a:sudo_project:sudo:1.8.27
-
cpe:2.3:a:sudo_project:sudo:1.8.28
-
cpe:2.3:a:sudo_project:sudo:1.8.29
-
cpe:2.3:a:sudo_project:sudo:1.8.3
-
cpe:2.3:a:sudo_project:sudo:1.8.30
-
cpe:2.3:a:sudo_project:sudo:1.8.31
-
cpe:2.3:a:sudo_project:sudo:1.8.32
-
cpe:2.3:a:sudo_project:sudo:1.8.4
-
cpe:2.3:a:sudo_project:sudo:1.8.5
-
cpe:2.3:a:sudo_project:sudo:1.8.6
-
cpe:2.3:a:sudo_project:sudo:1.8.7
-
cpe:2.3:a:sudo_project:sudo:1.8.8
-
cpe:2.3:a:sudo_project:sudo:1.8.9
-
cpe:2.3:a:sudo_project:sudo:1.9.0
-
cpe:2.3:a:sudo_project:sudo:1.9.1
-
cpe:2.3:a:sudo_project:sudo:1.9.10
-
cpe:2.3:a:sudo_project:sudo:1.9.11
-
cpe:2.3:a:sudo_project:sudo:1.9.12
-
cpe:2.3:a:sudo_project:sudo:1.9.2
-
cpe:2.3:a:sudo_project:sudo:1.9.3
-
cpe:2.3:a:sudo_project:sudo:1.9.4
-
cpe:2.3:a:sudo_project:sudo:1.9.5
-
cpe:2.3:a:sudo_project:sudo:1.9.6
-
cpe:2.3:a:sudo_project:sudo:1.9.7
-
cpe:2.3:a:sudo_project:sudo:1.9.8
-
cpe:2.3:a:sudo_project:sudo:1.9.9