PT-2021-7927 · Exiv2+4 · Exiv2+4

Kevinbackhouse

·

Publicado

2021-08-09

·

Atualizado

2025-01-10

·

CVE-2021-37616

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões v0.27.4 e anteriores do Exiv2
Descrição
Foi encontrada uma referência a ponteiro nulo no Exiv2, que pode ser acionada ao imprimir os metadados de um arquivo de imagem manipulado. Isso pode ser potencialmente explorado por um invasor para causar uma negação de serviço, caso ele consiga induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. O bug só é acionado ao imprimir os dados interpretados (traduzidos), o que requer uma opção de linha de comando adicional (-p t ou -P t).
Recomendações
Para as versões v0.27.4 e anteriores do Exiv2, atualize para a versão v0.27.5 para resolver o problema. Como solução temporária, considere evitar o uso das opções de linha de comando -p t ou -P t para minimizar o risco de exploração.

Correção

DoS

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALT-PU-2021-3110
ALT-PU-2021-3499
ALT-PU-2024-13399
AZL-7219
BDU:2023-05488
CVE-2021-37616
GHSA-54F7-VVJ7-545W
MGASA-2021-0415
OESA-2021-1451
OESA-2022-1955
OESA-2022-2044
USN-5043-1

Produtos afetados

Alt Linux
Exiv2
Linuxmint
Red Os
Ubuntu