CVE-2024-53984

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-53984
Nanopb is a small code-size Protocol Buffers implementation. When the compile time option PB_ENABLE_MALLOC is enabled, the message contains at least one field with FT_POINTER field type, custom stream callback is used with unknown stream length. and the pb_decode_ex() function is used with flag PB_DECODE_DELIMITED, then the pb_decode_ex() function does not automatically call pb_release(), like is done for other failure cases. This could lead to memory leak and potential denial-of-service. This vulnerability is fixed in 0.4.9.1.

4.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://github.com/nanopb/nanopb/commit/2b86c255aa52250438d5aba124d0e86db495b378
https://github.com/nanopb/nanopb/security/advisories/GHSA-xwqq-qxmw-hj5r
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Nanopb es una implementación de Protocol Buffers de tamaño de código pequeño. Cuando la opción de tiempo de compilación PB_ENABLE_MALLOC está habilitada, el mensaje contiene al menos un campo con el tipo de campo FT_POINTER, se utiliza una devolución de llamada de flujo personalizada con una longitud de flujo desconocida y la función pb_decode_ex() se utiliza con el indicador PB_DECODE_DELIMITED, entonces la función pb_decode_ex() no llama automáticamente a pb_release(), como se hace para otros casos de falla. Esto podría provocar una pérdida de memoria y una posible denegación de servicio. Esta vulnerabilidad se corrigió en la versión 0.4.9.1.

02 Dec 2024, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-12-02 16:15

Updated : 2026-04-15 00:35

NVD link : CVE-2024-53984

Mitre link : CVE-2024-53984

CVE.ORG link : CVE-2024-53984

JSON object : View

Products Affected

No product.

CWE
CWE-401

Missing Release of Memory after Effective Lifetime

CWE-755

Improper Handling of Exceptional Conditions