Kaka201

**Nome do software vulnerável e versões afetadas** Versões do htmldoc anteriores à 1.9.12 **Descrição** Uma vulnerabilidade de leitura insuficiente de buffer na função `image load bmp` permite que invasores provoquem uma negação de serviço por meio de uma imagem BMP especialmente criada. Esse problema afeta o htmldoc e pode ser explorado fornecendo uma imagem especialmente criada à função vulnerável. **Recomendações** Para versões anteriores à 1.9.12, atualize para a versão 1.9.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de imagens BMP ou desativar a função `image load bmp` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** stb versão 2.26 **Descrição** O problema está relacionado a uma vulnerabilidade de estouro de buffer na função `stbi extend receive` do componente `stb image.h` na biblioteca stb para C/C++. Essa vulnerabilidade pode ser explorada por um invasor remoto usando um arquivo JPEG especialmente criado, permitindo que ele acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço. **Recomendações** Para a versão 2.26 do stb, considere desativar a função `stbi extend receive` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente `stb image.h` para minimizar o risco de exploração. Evite usar o componente `stb image.h` com arquivos JPEG não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** JasPer versão 2.0.24 **Descrição** O problema decorre de uma leitura excessiva do buffer baseada em heap na função `jp2 decode`, localizada em `jp2/jp2 dec.c` da biblioteca `libjasper` no JasPer. Isso ocorre quando há uma relação inválida entre o número de canais e o número de componentes da imagem. **Recomendações** Para o JasPer versão 2.0.24, considere aplicar um patch ou atualização que corrija a função `jp2 decode` para evitar a leitura excessiva do buffer baseada na pilha. Como solução temporária, restrinja o uso da função `jp2 decode` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.