PT-2021-14347 · Unknown · Kamadak-Exif
Kamadak
·
Publicado
2021-01-04
·
Atualizado
2022-10-19
·
CVE-2021-21235
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
kamadak-exif versão 0.5.2
Descrição:
O problema está relacionado a um loop infinito na análise de arquivos PNG maliciosos, especificamente na função
reader::read from container. Isso pode levar a uma condição de negação de serviço (DoS) quando usado com dados não confiáveis. Aplicativos que não passam arquivos com a assinatura PNG para Reader::read from container não são afetados.Recomendações:
Para o kamadak-exif versão 0.5.2, atualize para a versão 0.5.3 para resolver o problema.
Como solução temporária, considere evitar o uso de
reader::read from container com arquivos PNG maliciosos até que um patch esteja disponível.Restrinja o acesso a
Reader::read from container para minimizar o risco de exploração.Correção
Infinite Loop
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kamadak-Exif