PT-2021-3480 · Dcraw+2 · Dcraw+2

Wooseok Kang

·

Publicado

2021-05-31

·

Atualizado

2024-06-15

·

CVE-2021-3624

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
dcraw (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade de estouro de inteiro. Ela ocorre quando uma imagem de entrada X3F criada de forma maliciosa é processada, permitindo potencialmente a execução de código arbitrário no sistema da vítima. A vulnerabilidade existe devido à validação insuficiente de entrada na função foveon load camf() do conversor raw do dcraw.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

RCE

Integer Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-190CWE-787

Identificadores relacionados

BDU:2021-03491
CVE-2021-3624
MGASA-2022-0160
OPENSUSE-SU-2022_1277-1
OPENSUSE-SU-2024:11997-1
SUSE-SU-2022:1277-1
SUSE-SU-2022:1749-1

Produtos afetados

Debian
Suse
Dcraw