CVE-2025-26623

Nome do Software Vulnerável e Versões Afetadas: Versões do Exiv2 v0.28.0 até v0.28.4

Descrição: Um estouro de buffer heap foi identificado no Exiv2 quando utilizado para gravar metadados em um arquivo de imagem especialmente criado. Esse problema pode ser explorado por um atacante para obter execução de código caso consiga enganar a vítima para executar o Exiv2 em um arquivo de imagem especialmente criado. O estouro de heap é acionado por uma operação do Exiv2 menos frequentemente utilizada, que é a gravação de metadados. Por exemplo, para acionar o bug no aplicativo de linha de comando do Exiv2, é necessário um argumento de linha de comando extra, como fixiso.

Recomendações: Para as versões do Exiv2 v0.28.0 até v0.28.4, atualize para a versão v0.28.5 para resolver o problema. Como medida de contorno temporária, considere evitar o uso do Exiv2 para gravar metadados até que o problema seja resolvido. Restrinja o acesso a arquivos de imagem especialmente criados para minimizar o risco de exploração. Evite usar o Exiv2 com arquivos de imagem não confiáveis até que o problema seja resolvido. No momento, não há outros contornos conhecidos para esta vulnerabilidade.