PT-2025-17420 · Libraw+5 · Libraw+5

Lexa

·

Publicado

2025-04-13

·

Atualizado

2025-12-04

·

CVE-2025-43963

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do LibRaw anteriores à 0.21.4
Descrição O problema surge na função phase one correct em decoders/load mfbacks.cpp, que permite acesso fora do buffer. Isso ocorre porque os valores split col e split row não são verificados durante o processamento da tag 0x041f.
Recomendações Para versões anteriores à 0.21.4, atualize para a versão 0.21.4 ou posterior para resolver o problema. Como medida temporária de contorno, considere restringir o acesso ao decodificador load mfbacks.cpp para minimizar o risco de exploração.

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

AZL-61810
BDU:2025-10598
CVE-2025-43963
DLA-4142-1
MGASA-2025-0316
OESA-2025-1478
OPENSUSE-SU-2025:15025-1
OPENSUSE-SU-2025_1568-1
OPENSUSE-SU-2025_1572-1
SUSE-SU-2025:01569-1
SUSE-SU-2025:01572-1
SUSE-SU-2025:1568-1
SUSE-SU-2025:1569-1
SUSE-SU-2025:1572-1
USN-7485-1

Produtos afetados

Alt Linux
Debian
Libraw
Linuxmint
Suse
Ubuntu