发布日期：2026-02-13
更新日期：2026-04-30

受影响系统：

BACnet Protocol Stack 1.5.0.rc2
BACnet Protocol Stack 1.4.2

描述：

---

CVE(CAN) ID: CVE-2026-21870

BACnet Protocol Stack是一个适用于多种平台的，用于提供BACnet应用层、网络层和媒体访问（MAC）层通信服务的库。
BACnet Protocol Stack 1.4.2版本、1.5.0.rc2版本及之前版本存在堆栈缓冲区溢出漏洞，该漏洞源于该漏洞源于ubasic解释器中，tokenizer_string函数在处理最大长度字符串时，错误地在dest[40]位置写入空终止符，而有效缓冲区索引仅为0-39，导致越界写入栈内存，攻击者可利用该漏洞向解释器输入精心构造的长度为40字节的字符串字面量，触发空字节写入栈中相邻位置造成服务崩溃。

<**>

建议：

---

厂商补丁：

BACnet
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/bacnet-stack/bacnet-stack/commit/4e1176394a5ae50d2fd0b5790d9bff806dc08465

浏览次数：82
严重程度：0（网友投票）