Bio-Formats versions up to and including 8.3.0 perform unsafe Java deserialization of attacker-controlled memoization cache files (.bfmemo) during image processing. The loci.formats.Memoizer class automatically loads and deserializes memo files associated with images without validation, integrity checks, or trust enforcement. An attacker who can supply a crafted .bfmemo file alongside an image can trigger deserialization of untrusted data, which may result in denial of service, logic manipulation, or potentially remote code execution in environments where suitable gadget chains are present on the classpath.
Bio-Formats versions up to 8.3.0 contain unsafe Java deserialization vulnerabilities in memoization cache files (.bfmemo) that lack validation and integrity checks. Attackers can craft malicious .bfmemo files to trigger denial of service, logic manipulation, or remote code execution when processed alongside images.
تحتوي مكتبة Bio-Formats على ثغرة خطيرة في معالجة ملفات الذاكرة المؤقتة (.bfmemo) حيث يتم فك تسلسل البيانات دون التحقق من صحتها. يمكن للمهاجمين استغلال هذه الثغرة بإرسال ملفات ضارة مع الصور لتنفيذ أوامر بعيدة أو إيقاف الخدمات.
إصدارات Bio-Formats حتى 8.3.0 تحتوي على ثغرات في فك تسلسل Java غير آمنة في ملفات ذاكرة التخزين المؤقت (.bfmemo) التي تفتقر إلى التحقق والفحوصات السلامة. يمكن للمهاجمين إنشاء ملفات .bfmemo ضارة لتشغيل رفض الخدمة أو التلاعب بالمنطق أو تنفيذ الأوامر البعيدة.
Upgrade Bio-Formats to version 8.3.1 or later immediately. Implement file integrity validation for .bfmemo files using cryptographic signatures or checksums. Restrict file upload permissions and validate image file sources before processing. Monitor for suspicious .bfmemo files in image directories. Disable memoization if not required for operations.
قم بترقية Bio-Formats إلى الإصدار 8.3.1 أو أحدث فوراً. طبق التحقق من سلامة الملفات لملفات .bfmemo باستخدام التوقيعات التشفيرية أو المجاميع الاختبارية. قيد أذونات تحميل الملفات والتحقق من مصادر ملفات الصور قبل المعالجة. راقب ملفات .bfmemo المريبة في مجلدات الصور. عطل المذكرة إذا لم تكن مطلوبة للعمليات.