Panda3D versions up to and including 1.10.16 egg-mkfont contains an uncontrolled format string vulnerability. The -gp (glyph pattern) command-line option is used directly as the format string for sprintf() with only a single argument supplied. If an attacker provides additional format specifiers, egg-mkfont may read unintended stack values and write the formatted output into generated .egg and .png files, resulting in disclosure of stack-resident memory and pointer values.
Panda3D egg-mkfont tool contains a format string vulnerability in the -gp option that allows attackers to read stack memory and write arbitrary data to output files. An attacker can disclose sensitive information and potentially achieve code execution through crafted format specifiers.
ثغرة format string غير محكومة في أداة egg-mkfont بإصدارات Panda3D حتى 1.10.16 تسمح بقراءة قيم المكدس وكتابة البيانات المنسقة في ملفات .egg و .png. يمكن للمهاجمين استخدام محددات صيغة إضافية للكشف عن قيم المؤشرات والبيانات الحساسة المخزنة في الذاكرة.
أداة Panda3D egg-mkfont تحتوي على ثغرة format string في خيار -gp تسمح للمهاجمين بقراءة ذاكرة المكدس وكتابة بيانات عشوائية في ملفات الإخراج. يمكن للمهاجم الكشف عن معلومات حساسة وتحقيق تنفيذ الأوامر المحتمل من خلال محددات الصيغة المصنوعة.
Update Panda3D to version 1.10.17 or later immediately. Validate and sanitize all command-line input, particularly the -gp parameter, before passing to sprintf(). Implement input validation to reject format string specifiers. Restrict execution of egg-mkfont to trusted users only and disable if not required.
قم بتحديث Panda3D إلى الإصدار 1.10.17 أو أحدث فوراً. تحقق من صحة وتنظيف جميع مدخلات سطر الأوامر، خاصة معامل -gp، قبل تمريرها إلى sprintf(). طبق التحقق من المدخلات لرفض محددات format string. قيد تنفيذ egg-mkfont للمستخدمين الموثوقين فقط وعطله إذا لم يكن مطلوباً.