الثغرات ›

CVE-2026-27631

متوسط

CWE-248 — نوع الضعف

                    نُشر: Mar 2, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Exiv2 is a C++ library and a command-line utility to read, write, delete and modify Exif, IPTC, XMP and ICC image metadata. Prior to version 0.28.8, an uncaught exception was found in Exiv2. The vulnerability is in the preview component, which is only triggered when running Exiv2 with an extra command line argument, like -pp. Due to an integer overflow, the code attempts to create a huge std::vector, which causes Exiv2 to crash with an uncaught exception. This issue has been patched in version 0.28.8.

🤖 ملخص AI

Exiv2 versions prior to 0.28.8 contain an integer overflow vulnerability in the preview component that causes denial of service through uncaught exceptions when processing specially crafted image files with specific command-line arguments. The vulnerability requires explicit user interaction with the -pp flag and results in application crashes rather than code execution.

📄 الوصف (العربية)

ثغرة تجاوز عدد صحيح في مكون معاينة Exiv2 تسمح بإنشاء متجه std::vector ضخم جداً، مما يؤدي إلى استثناء غير معالج وتعطل التطبيق. تحدث الثغرة فقط عند استخدام معاملات سطر أوامر محددة مثل -pp مع ملفات صور معدة خصيصاً.

🤖 ملخص تنفيذي (AI)

مكتبة Exiv2 الإصدارات السابقة للإصدار 0.28.8 تحتوي على ثغرة تجاوز عدد صحيح في مكون المعاينة تسبب رفض الخدمة من خلال استثناءات غير معالجة عند معالجة ملفات صور معدة خصيصاً. تتطلب الثغرة تفاعلاً صريحاً من المستخدم مع علم -pp وتؤدي إلى تعطل التطبيق بدلاً من تنفيذ الأكواد.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 03:50

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government healthcare banking

🎯 تقنيات MITRE ATT&CK

T1499.004

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update Exiv2 to version 0.28.8 or later immediately. For organizations unable to upgrade immediately, restrict command-line usage of Exiv2 tools, disable the preview functionality (-pp flag), implement input validation for image files, and monitor for unexpected application crashes. Implement principle of least privilege for users running Exiv2 utilities.

🔧 خطوات المعالجة (العربية)

قم بتحديث Exiv2 إلى الإصدار 0.28.8 أو أحدث فوراً. للمنظمات غير القادرة على الترقية فوراً، قيد استخدام أدوات سطر الأوامر Exiv2، وعطل وظيفة المعاينة (علم -pp)، وطبق التحقق من صحة المدخلات لملفات الصور، وراقب تعطل التطبيقات غير المتوقعة. طبق مبدأ أقل امتياز للمستخدمين الذين يقومون بتشغيل أدوات Exiv2.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.BE-5.1 PR.IP-1.1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/Exiv2/exiv2/commit/659db316eef745899a778a1e0b760a971d1b69df

security-advisories@github.com

Patch

🔗

https://github.com/Exiv2/exiv2/issues/3513

security-advisories@github.com

Issue Tracking

🔗

https://github.com/Exiv2/exiv2/pull/3514

security-advisories@github.com

Issue Tracking Patch

🔗

https://github.com/Exiv2/exiv2/security/advisories/GHSA-p2pw-7935-c73j

security-advisories@github.com

Patch Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

exiv2:exiv2

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-248

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-02

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

patch-available CWE-248

🏢 توجيهات البائع

🔗 https://github.com/Exiv2/exiv2/security/advisories/G...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-27631

عرّفنا بنفسك

تسجيل الدخول مطلوب