Katalog CVE

CVE-2025-6199

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

W parserze GIF biblioteki GdkPixbuf w dekoderze LZW wykryto błąd logiczny. Podczas dekompresji, po napotkaniu nieprawidłowego symbolu, dekoder ustawia raportowany rozmiar wyjścia na pełną długość bufora zamiast faktycznej liczby zapisanych bajtów. Powoduje to dołączenie niezainicjalizowanych fragmentów bufora do przetworzonego obrazu, co może prowadzić do wycieku dowolnych danych z pamięci.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych z pamięci procesu przetwarzającego obrazy GIF. Atakujący może wykorzystać tę podatność do odczytania fragmentów pamięci zawierających klucze, hasła lub inne wrażliwe informacje.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę GdkPixbuf do wersji zawierającej poprawkę usuwającą błąd logiczny w dekoderze LZW. Do czasu aktualizacji zaleca się unikanie przetwarzania obrazów GIF z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the GIF parser of GdkPixbuf’s LZW decoder. When an invalid symbol is encountered during decompression, the decoder sets the reported output size to the full buffer length rather than the actual number of written bytes. This logic error results in uninitialized sections of the buffer being included in the output, potentially leaking arbitrary memory contents in the processed image.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS