Vulnerabilidad en Exiv2 (CVE-2025-26623)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
18/02/2025
Última modificación:
18/02/2025
Descripción
Exiv2 es un C ++ librería y una utilidad de línea de comandos para leer, escribir, eliminar y modificar los metadatos de imagen EXIF, IPTC, XMP e ICC. Se encontró un desbordamiento del búfer Heap en las versiones EXIV2 V0.28.0 a V0.28.4. Las versiones anteriores a V0.28.0, como V0.27.7, ** no ** son afectadas. Exiv2 es una utilidad de línea de comandos y una biblioteca de C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. El desbordamiento del montón se activa cuando Exiv2 se usa para escribir metadatos en un archivo de imagen manipulado. Un atacante podría explotar la vulnerabilidad para obtener la ejecución del código, si puede engañar a la víctima para que ejecute Exiv manipulado Archivo de imagen elaborado. Tenga en cuenta que este error solo se activa al escribir los metadatos, que es una operación exiv2 de uso menos frecuente que leer los metadatos. Por ejemplo, para activar el error en la aplicación de línea de comandos Exiv2, debe agregar un argumento de línea de comandos adicional como `FixISO`. El error se soluciona en la versión v0.28.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA