PT-2021-8245 · Exiv2+9 · Exiv2+9

Kevinbackhouse

·

Publicado

2021-04-20

·

Atualizado

2025-01-10

·

CVE-2021-29463

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões v0.27.3 e anteriores do Exiv2
Descrição
Foi detectada uma leitura fora dos limites no Exiv2 quando utilizado para gravar metadados em um arquivo de imagem manipulado. Isso poderia ser potencialmente explorado por um invasor para causar uma negação de serviço ao travar o Exiv2, caso consiga induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. O bug só é acionado durante a gravação de metadados, uma operação menos frequente do que a leitura de metadados.
Recomendações
Para as versões v0.27.3 e anteriores do Exiv2, atualize para a versão v0.27.4 para resolver o problema. Como solução alternativa temporária, considere evitar o uso do argumento de linha de comando insert ao executar o aplicativo de linha de comando do Exiv2, para minimizar o risco de exploração.

Correção

DoS

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2021:4173
ALT-PU-2021-2006
ALT-PU-2024-13399
AZL-7208
BDU:2025-00361
CESA-2021_4173
CVE-2021-29463
GHSA-5P8G-9XF3-GFRR
MGASA-2021-0240
OESA-2021-1183
OPENSUSE-SU-2022_3889-1
OPENSUSE-SU-2022_3892-1
OPENSUSE-SU-2024:12440-1
RHSA-2021:4173
RHSA-2021_4173
RLSA-2021:4173
SUSE-SU-2022:3889-1
SUSE-SU-2022:3892-1
USN-4964-1

Produtos afetados

Alt Linux
Almalinux
Centos
Exiv2
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu