CVE-2022-49737

EPSS 0.08%
Veröffentlicht 16.03.2025 00:00:00
Zuletzt bearbeitet 17.03.2025 16:15:17
Quelle cve@mitre.org
Teams Watchlist Login
Unerledigt Login

In X.Org X server 20.11 through 21.1.16, when a client application uses easystroke for mouse gestures, the main thread modifies various data structures used by the input thread without acquiring a lock, aka a race condition. In particular, AttachDevice in dix/devices.c does not acquire an input lock.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 7

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerX.org

≫

Produkt X server

Default Statusunknown

Version <= 21.1.16

Version 20.11

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.08%	0.251

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
cve@mitre.org	7.7	1.8	5.3	CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:H

CWE-413 Improper Resource Locking

The product does not lock or does not correctly lock a resource when the product must have exclusive access to the resource.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1081338

https://gitlab.freedesktop.org/xorg/xserver/-/issues/1260

https://bugs.debian.org/cgi-bin/bugreport.cgi?att=1;bug=1081338;filename=dix-Hold-input-lock-for-AttachDevice.patch;msg=5

https://gitlab.freedesktop.org/xorg/xserver/-/commit/dc7cb45482cea6ccec22d117ca0b489500b4d0a0

https://nvd.nist.gov/vuln/detail/CVE-2022-49737

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2022-49737

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2022-49737

EUVD