Vulnerabilidad en Exiv2 (CVE-2024-25112)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/02/2024

Última modificación:

16/10/2024

Descripción

Exiv2 es una utilidad de línea de comandos y una librería de C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. Se encontró una denegación de servicio en la versión v0.28.1 de Exiv2: una recursividad ilimitada puede provocar que Exiv2 falle al agotar la pila. La función vulnerable, `QuickTimeVideo::multipleEntriesDecoder`, era nueva en v0.28.0, por lo que las versiones de Exiv2 anteriores a v0.28 _no_ se ven afectadas. La denegación de servicio se activa cuando se utiliza Exiv2 para leer los metadatos de un archivo de vídeo creado. Este error se solucionó en la versión v0.28.2. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto