Vulnerabilidad en OpenEXR (CVE-2025-64181)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/11/2025
Última modificación:
08/12/2025
Descripción
OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. En las versiones 3.3.0 a 3.3.5 y 3.4.0 a 3.4.2, al realizar fuzzing en 'openexr_exrcheck_fuzzer', Valgrind informa una bifurcación condicional que depende de datos no inicializados dentro de 'generic_unpack'. Esto indica un uso de memoria no inicializada. El problema puede resultar en un comportamiento indefinido y/o un posible crash/denegación de servicio. Las versiones 3.3.6 y 3.4.3 solucionan el problema.
Impacto
Puntuación base 4.0
2.00
Gravedad 4.0
BAJA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openexr:openexr:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.3.6 (excluyendo) |
| cpe:2.3:a:openexr:openexr:*:*:*:*:*:*:*:* | 3.4.0 (incluyendo) | 3.4.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/AcademySoftwareFoundation/openexr/security/advisories/GHSA-3h9h-qfvw-98hq
- https://github.com/user-attachments/files/23024726/archive0.zip
- https://github.com/user-attachments/files/23024736/archive1.zip
- https://github.com/user-attachments/files/23024740/archive2.zip
- https://github.com/user-attachments/files/23024744/archive3.zip
- https://github.com/user-attachments/files/23024746/archive4.zip
- https://github.com/AcademySoftwareFoundation/openexr/security/advisories/GHSA-3h9h-qfvw-98hq