PT-2022-7116 · Unknown+1 · Openimageio+1

Lilith >_>

·

Publicado

2022-10-20

·

Atualizado

2024-06-15

·

CVE-2022-41794

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
OpenImageIO versão 2.3.19.0
Descrição
Existe uma vulnerabilidade de estouro de buffer baseada na pilha no código de análise do recurso de miniaturas PSD. Esse problema pode ser desencadeado por um arquivo PSD especialmente criado, podendo levar à execução de código arbitrário. Um invasor pode explorar essa vulnerabilidade fornecendo um arquivo malicioso.
Recomendações
Para o OpenImageIO versão 2.3.19.0, considere evitar o uso de arquivos PSD até que um patch esteja disponível. Como solução temporária, restrinja o acesso ao código de análise de recursos de miniaturas PSD para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Memory Corruption

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-122

Identificadores relacionados

BDU:2023-07635
CVE-2022-41794
DLA-3518-1
DSA-5384-1
MGASA-2023-0151
OPENSUSE-SU-2024:12477-1

Produtos afetados

Astra Linux
Openimageio