PT-2021-7928 · Exiv2+5 · Exiv2+5
Kevin Backhouse
·
Publicado
2021-08-09
·
Atualizado
2025-01-10
·
CVE-2021-37623
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões v0.27.4 e anteriores do Exiv2
Descrição
O problema está relacionado a um loop infinito na biblioteca Exiv2, que pode ser acionado ao modificar os metadados de um arquivo de imagem manipulado. Isso pode permitir que um invasor cause uma negação de serviço se conseguir induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. O bug é acionado especificamente ao excluir os dados IPTC, o que requer uma opção de linha de comando adicional (
-d I rm).Recomendações
Para as versões v0.27.4 e anteriores do Exiv2, atualize para a versão v0.27.5 para resolver o problema. Como solução temporária, considere evitar o uso da opção de linha de comando
-d I rm para minimizar o risco de exploração. Restrinja o acesso à operação do Exiv2 que requer essa opção para reduzir a probabilidade de um invasor acionar o loop infinito.Correção
DoS
Infinite Loop
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Exiv2
Linuxmint
Red Os
Suse
Ubuntu