Exiv2 is a C++ library and a command-line utility to read, write, delete and modify Exif, IPTC, XMP and ICC image metadata. Prior to version 0.28.8, an uncaught exception was found in Exiv2. The vulnerability is in the preview component, which is only triggered when running Exiv2 with an extra command line argument, like -pp. Due to an integer overflow, the code attempts to create a huge std::vector, which causes Exiv2 to crash with an uncaught exception. This issue has been patched in version 0.28.8.
Exiv2 versions prior to 0.28.8 contain an integer overflow vulnerability in the preview component that causes denial of service through uncaught exceptions when processing specially crafted image files with specific command-line arguments. The vulnerability requires explicit user interaction with the -pp flag and results in application crashes rather than code execution.
ثغرة تجاوز عدد صحيح في مكون معاينة Exiv2 تسمح بإنشاء متجه std::vector ضخم جداً، مما يؤدي إلى استثناء غير معالج وتعطل التطبيق. تحدث الثغرة فقط عند استخدام معاملات سطر أوامر محددة مثل -pp مع ملفات صور معدة خصيصاً.
مكتبة Exiv2 الإصدارات السابقة للإصدار 0.28.8 تحتوي على ثغرة تجاوز عدد صحيح في مكون المعاينة تسبب رفض الخدمة من خلال استثناءات غير معالجة عند معالجة ملفات صور معدة خصيصاً. تتطلب الثغرة تفاعلاً صريحاً من المستخدم مع علم -pp وتؤدي إلى تعطل التطبيق بدلاً من تنفيذ الأكواد.
Update Exiv2 to version 0.28.8 or later immediately. For organizations unable to upgrade immediately, restrict command-line usage of Exiv2 tools, disable the preview functionality (-pp flag), implement input validation for image files, and monitor for unexpected application crashes. Implement principle of least privilege for users running Exiv2 utilities.
قم بتحديث Exiv2 إلى الإصدار 0.28.8 أو أحدث فوراً. للمنظمات غير القادرة على الترقية فوراً، قيد استخدام أدوات سطر الأوامر Exiv2، وعطل وظيفة المعاينة (علم -pp)، وطبق التحقق من صحة المدخلات لملفات الصور، وراقب تعطل التطبيقات غير المتوقعة. طبق مبدأ أقل امتياز للمستخدمين الذين يقومون بتشغيل أدوات Exiv2.