Vulnerabilidad en Exiv2 (CVE-2024-24826)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-125 Lectura fuera de límites

Fecha de publicación:

12/02/2024

Última modificación:

16/10/2024

Descripción

Exiv2 es una utilidad de línea de comandos y una librería de C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. Se encontró una lectura fuera de los límites en la versión v0.28.1 de Exiv2. La función vulnerable, `QuickTimeVideo::NikonTagsDecoder`, era nueva en v0.28.0, por lo que las versiones de Exiv2 anteriores a v0.28 _no_ se ven afectadas. La lectura fuera de los límites se activa cuando se utiliza Exiv2 para leer los metadatos de un archivo de vídeo creado. En la mayoría de los casos, esta lectura fuera de los límites provocará un bloqueo. Este error se solucionó en la versión v0.28.2. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto