Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-34334)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/08/2021
Última modificación:
22/12/2023
Descripción
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, borrar y modificar los metadatos de los archivos de imagen. Un bucle infinito es desencadenado cuando Exiv2 es usado para leer los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. El bug ha sido corregido en la versión v0.27.5
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:exiv2:exiv2:*:*:*:*:*:*:*:* | 0.27.4 (incluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Exiv2/exiv2/pull/1766
- https://github.com/Exiv2/exiv2/security/advisories/GHSA-hqjh-hpv8-8r9p
- https://lists.debian.org/debian-lts-announce/2023/01/msg00004.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FMDT4PJB7P43WSOM3TRQIY3J33BAFVVE/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UYGDELIFFJWKUU7SO3QATCIXCZJERGAC/
- https://security.gentoo.org/glsa/202312-06