Vulnerabilidad en OpenJPEG (CVE-2016-8332)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
28/10/2016
Última modificación:
12/04/2025
Descripción
Un desbordamiento de búfer en OpenJPEG 2.1.1 provoca ejecución de código arbitrario cuando se analiza una imagen manipulada. Una vulnerabilidad explotable de ejecución de código existe en el analizador de archivo formato de imagen jpeg2000 como se aplica en la librería OpenJpeg. Un archivo jpeg2000 especialmente manipulado puede provocar una escritura fuera de límites resultando en corrupción de la pila dando lugar a ejecución de código arbitrario. Para un ataque exitoso, el usuario objetivo necesita abrir un archivo jpeg2000 malicioso. El formato de archivo de jpeg2000 es principalmente utilizado para incrustar imágenes dentro de documentos PDF y la librería OpenJpeg es utilizada por un número de visualizadores de PDF populares convirtiendo a los documentos PDF en un vector de ataque probable.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:uclouvain:openjpeg:2.1.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.debian.org/security/2017/dsa-3768
- http://www.securityfocus.com/bid/93242
- http://www.securitytracker.com/id/1038623
- http://www.talosintelligence.com/reports/TALOS-2016-0193/
- https://github.com/uclouvain/openjpeg/releases/tag/v2.1.2
- https://www.oracle.com/security-alerts/cpujul2020.html
- http://www.debian.org/security/2017/dsa-3768
- http://www.securityfocus.com/bid/93242
- http://www.securitytracker.com/id/1038623
- http://www.talosintelligence.com/reports/TALOS-2016-0193/
- https://github.com/uclouvain/openjpeg/releases/tag/v2.1.2
- https://www.oracle.com/security-alerts/cpujul2020.html