Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-29458

Vulnerabilidad en un archivo de imagen en Exiv2 (CVE-2021-29458)

Tipo: 
Lectura fuera de límites
Gravedad: 
Media
Fecha publicación : 
19/04/2021
Última modificación: 
03/05/2021
Descripción
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. Se encontró una lectura fuera de límites en Exiv2 versiones v0.27.3 y anteriores. La lectura fuera de límites es desencadenada cuando Exiv2 es usado para escribir metadatos en un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio al bloquear Exiv2, si puede engañar a la víctima para ejecutar Exiv2 en un archivo de imagen diseñado. Note que este bug solo es desencadenado al escribir los metadatos, que es una operación Exiv2 que es usada con menos frecuencia que la lectura de los metadatos. Por ejemplo, para desencadenar el bug en la aplicación de línea de comandos Exiv2, debe agregar un argumento de línea de comando adicional como insert. El bug es corregido en versión v0.27.4
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:exiv2:exiv2:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos