关键信息 漏洞标题: Golioth Firmware SDK < 0.22.0 Payload Utils Stack-based Buffer Overflow 严重性: MEDIUM 日期: 2/26/2026 漏洞描述: Golioth Firmware SDK版本0.10.0至0.22.0之间,Payload Utils模块存在基于栈的缓冲区溢出漏洞。 和 函数将网络提供的负载数据复制到固定大小的栈缓冲区中,长度由 确定。在发布版本中,长度检查被 保护,但 在最终编译时被编译器移除。因此,大小超过12字节(int)或32字节(float)的负载可能导致栈溢出,进而引起崩溃或服务拒绝。该漏洞可通过LightDB State中的 与恶意服务器或MITM连接触发。 CVSS V4向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 修复措施: 在commit 48f521b中修复。 参考资料: - SecMate披露 - Golioth Firmware SDK v0.22.0 发布说明 - Golioth Firmware SDK GitHub修复提交 漏洞披露者: SecMate (https://secmate.dev)