Bio-Formats versions up to and including 8.3.0 perform unsafe Java deserialization of attacker-controlled memoization cache files (.bfmemo) during image processing. The loci.formats.Memoizer class automatically loads and deserializes memo files associated with images without validation, integrity checks, or trust enforcement. An attacker who can supply a crafted .bfmemo file alongside an image can trigger deserialization of untrusted data, which may result in denial of service, logic manipulation, or potentially remote code execution in environments where suitable gadget chains are present on the classpath.
Bio-Formats library versions up to 8.3.0 contain a critical unsafe deserialization vulnerability (CWE-502) in the Memoizer class that automatically loads and deserializes .bfmemo cache files without validation. Attackers can supply malicious .bfmemo files alongside images to achieve remote code execution, denial of service, or logic manipulation in affected systems processing scientific imaging data.
تؤثر هذه الثغرة على مكتبة Bio-Formats المستخدمة في معالجة الصور العلمية والطبية، حيث تقوم فئة loci.formats.Memoizer بتحميل ملفات التخزين المؤقت (.bfmemo) وإلغاء تسلسلها تلقائياً دون أي فحوصات للتحقق من السلامة أو الثقة. يستغل المهاجم هذه الثغرة من خلال إنشاء ملف .bfmemo ضار وإرفاقه مع صورة، مما يؤدي إلى إلغاء تسلسل بيانات غير موثوقة عند معالجة الصورة. في البيئات التي تحتوي على سلاسل gadget مناسبة في مسار الفئات، يمكن أن يؤدي ذلك إلى تنفيذ تعليمات برمجية عن بُعد أو رفض الخدمة أو التلاعب بمنطق التطبيق. تشكل هذه الثغرة خطراً كبيراً على المؤسسات البحثية والطبية والمختبرات التي تعتمد على هذه المكتبة لمعالجة البيانات الحساسة.
تحتوي مكتبة Bio-Formats حتى الإصدار 8.3.0 على ثغرة حرجة في إلغاء التسلسل غير الآمن (CWE-502) في فئة Memoizer التي تقوم تلقائياً بتحميل وإلغاء تسلسل ملفات .bfmemo دون التحقق من صحتها. يمكن للمهاجمين توفير ملفات .bfmemo ضارة مع الصور لتنفيذ تعليمات برمجية عن بُعد أو رفض الخدمة أو التلاعب بالمنطق في الأنظمة المتأثرة التي تعالج بيانات التصوير العلمي.
1. Immediately identify and inventory all systems using Bio-Formats library versions 8.3.0 or earlier, particularly in healthcare imaging systems, research platforms, and laboratory information management systems
2. Implement strict input validation and file integrity checks for all .bfmemo files, disable automatic memoization cache loading, or implement application-level controls to reject untrusted .bfmemo files until official patches are available
3. Deploy network segmentation to isolate systems processing imaging data, implement enhanced monitoring for deserialization attacks and suspicious .bfmemo file activity, and establish incident response procedures for potential exploitation attempts
1. تحديد وجرد جميع الأنظمة التي تستخدم مكتبة Bio-Formats الإصدار 8.3.0 أو أقدم فوراً، خاصة في أنظمة التصوير الصحي ومنصات الأبحاث وأنظمة إدارة معلومات المختبرات
2. تطبيق التحقق الصارم من صحة المدخلات وفحوصات سلامة الملفات لجميع ملفات .bfmemo، وتعطيل التحميل التلقائي لذاكرة التخزين المؤقت، أو تنفيذ ضوابط على مستوى التطبيق لرفض ملفات .bfmemo غير الموثوقة حتى توفر التحديثات الرسمية
3. نشر تجزئة الشبكة لعزل الأنظمة التي تعالج بيانات التصوير، وتنفيذ مراقبة محسّنة لهجمات إلغاء التسلسل ونشاط ملفات .bfmemo المشبوه، وإنشاء إجراءات الاستجابة للحوادث لمحاولات الاستغلال المحتملة