PT-2024-2330 · Academy Software Foundation+5 · Openexr+5

Wanderingglitch

+1

·

Publicado

2024-02-01

·

Atualizado

2026-06-01

·

CVE-2023-5841

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Biblioteca de análise de imagens OpenEXR da Academy Software Foundation, versões 3.2.1 e anteriores
Descrição
O problema é causado por uma falha na validação do número de amostras de linha de varredura de um arquivo OpenEXR que contém dados de linha de varredura profunda, levando a um estouro de buffer baseado na pilha. Isso permite que um invasor remoto leia ou grave dados arbitrários. A vulnerabilidade foi corrigida nas versões v3.2.2 e v3.1.12 da biblioteca afetada.
Recomendações
Para as versões 3.2.1 e anteriores, atualize para a versão v3.2.2 ou v3.1.12 para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de arquivos OpenEXR contendo dados de scanline profunda até que um patch esteja disponível.

Exploit

Correção

DoS

Memory Corruption

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-122

Identificadores relacionados

ALSA-2024:8800
ALSA-2024:9548
ALSA-2024_8800
ALSA-2024_9548
AZL-62324
BDU:2024-02272
CVE-2023-5841
ELSA-2024-8800
ELSA-2024-9548
INFSA-2024_8800
INFSA-2024_9548
JLSEC-2026-133
OESA-2024-1215
OESA-2024-1216
OESA-2024-1217
OESA-2024-1218
OPENSUSE-SU-2024:13683-1
RHSA-2024:8800
RHSA-2024:8801
RHSA-2024:8802
RHSA-2024:9548
RHSA-2024_8800
RHSA-2024_9548
RLSA-2024:8800
RLSA-2024:9548
RLSA-2024_8800
RLSA-2024_9548

Produtos afetados

Almalinux
Debian
Apple Macos
Openexr
Red Hat
Rocky Linux