CRITICAL🇬🇧 English

CVE-2024-55194

Heap overflow w OpenImageIO przez komponent fmath.h

CVSS 9.8v3.1pub. 2025-01-23upd. 2025-01-29

W bibliotece OpenImageIO w wersji v3.1.0.0dev wykryto podatność typu heap overflow w komponencie fmath.h. Podatność uzyskała ocenę krytyczną CVSS 9.8, co oznacza bardzo wysokie ryzyko dla systemów korzystających z tej biblioteki.

Pokaż oryginał (EN)

OpenImageIO v3.1.0.0dev was discovered to contain a heap overflow via the component /OpenImageIO/fmath.h.

🤖 Analiza AI
Jak działa

Podatność polega na przepełnieniu bufora na stercie (heap overflow) w pliku nagłówkowym /OpenImageIO/fmath.h — klasyfikowanym jako CWE-787 (zapis poza granicami bufora) oraz CWE-120 (brak walidacji rozmiaru przy kopiowaniu). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które powodują przekroczenie granic przydzielonej pamięci na stercie. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co znacząco zwiększa jego dostępność dla potencjalnych napastników.

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie dowolnego kodu (RCE), a także naruszenie poufności, integralności i dostępności systemu w pełnym zakresie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu na GitHub pod adresem wskazanym w referencjach oraz aktualizację do wersji zawierającej poprawkę po jej udostępnieniu.

Kogo dotyczy

OpenImageIO w wersji v3.1.0.0dev

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Openimageio

    APP
    Openimageio
    3.1.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2024-55193CRITICAL9.8PL ✓ten sam produkt

Naruszenie segmentacji (segfault) w OpenImageIO przez komponent string_view.h

CVE-2024-55192CRITICAL9.8PL ✓ten sam produkt

Heap overflow w OpenImageIO poprzez komponent Fetch64

CVE-2023-42299CRITICAL9.8ten sam produkt

Buffer Overflow vulnerability in OpenImageIO oiio v.2.4.12.0 allows a remote attacker to execute arbitrary cod...

CVE-2022-41639CRITICAL9.8ten sam produkt

A heap based buffer overflow vulnerability exists in tile decoding code of TIFF image parser in OpenImageIO ma...

CVE-2022-38143CRITICAL9.8ten sam produkt

A heap out-of-bounds write vulnerability exists in the way OpenImageIO v2.3.19.0 processes RLE encoded BMP ima...