PT-2022-26056 · Jhead+3 · Jhead+3

Kyle-Tenet3

·

Publicado

2022-10-17

·

Atualizado

2025-05-13

·

CVE-2022-41751

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Jhead versão 3.06.0.1
Descrição
A vulnerabilidade permite que invasores executem comandos arbitrários do sistema operacional ao inseri-los no nome de um arquivo JPEG e, em seguida, utilizar a opção de regeneração -rgt50.
Recomendações
Para a versão 3.06.0.1 do Jhead, considere evitar o uso da opção de regeneração -rgt50 com nomes de arquivos JPEG não confiáveis até que uma correção esteja disponível. Como solução temporária, restrinja a execução de comandos do sistema operacional a partir de nomes de arquivos JPEG para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALT-PU-2023-4462
ALT-PU-2024-8920
CVE-2022-41751
DLA-3219-1
DSA-5294-1
OPENSUSE-SU-2022:10178-1
OPENSUSE-SU-2022:10179-1
OPENSUSE-SU-2023:0054-1
OPENSUSE-SU-2023:0371-1
OPENSUSE-SU-2024:12466-1
USN-6108-1

Produtos afetados

Alt Linux
Jhead
Linuxmint
Ubuntu