Exiv2 0.28.7 多個弱點
high Nessus Plugin ID 301135
語言:
概要
遠端主機缺少安全性更新。說明
遠端主機上安裝的 Exiv2 版本是 0.28.7。因此,會受到多個弱點影響:- Exiv2 是一個 C++ 程式庫,也是一個命令列公用程式,可讀取、寫入、刪除與修改 Exif、IPTC、XMP 和 ICC 影像的中繼資料。在 0.28.7版中發現一個超出邊界讀取問題。此弱點位於 CRW 影像剖析器中。 (CVE-2026-25884)
- Exiv2 是一個 C++ 程式庫,也是一個命令列公用程式,可讀取、寫入、刪除與修改 Exif、IPTC、XMP 和 ICC 影像的中繼資料。在 0.28.7版中在 Exiv2 中發現一個超出邊界讀取問題。預覽元件中有弱點只有在以額外命令行引數 (如 -pp) 執行 Exiv2 時才會觸發該弱點。超出邊界讀取發生 4GB 位移這通常會造成 Exiv2 當機。 (CVE-2026-27596)
- Exiv2 是一個 C++ 程式庫,也是一個命令列公用程式,可讀取、寫入、刪除與修改 Exif、IPTC、XMP 和 ICC 影像的中繼資料。在 0.28.7版中在 Exiv2 中發現一個未攔截到的例外狀況。預覽元件中有弱點只有在以額外命令行引數 (如 -pp) 執行 Exiv2 時才會觸發該弱點。由於整數溢位程式碼會嘗試建立巨大的 std::vector這會導致 Exiv2 因未攔截到的例外狀況而損毀。 (CVE-2026-27631)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Exiv2 0.28.8 版或更新版本。另請參閱
https://github.com/Exiv2/exiv2/security/advisories/GHSA-9mxq-4j5g-5wrp
https://github.com/Exiv2/exiv2/security/advisories/GHSA-3wgv-fg4w-75x7
https://github.com/Exiv2/exiv2/security/advisories/GHSA-p2pw-7935-c73j
Plugin 詳細資訊
嚴重性: High
ID: 301135
檔案名稱: exiv2_0_28_8.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2026/3/6
已更新: 2026/3/6
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: High
基本分數: 9.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:C
CVSS 評分資料來源: CVE-2026-25884
CVSS v3
風險因素: High
基本分數: 8.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
弱點資訊
CPE: cpe:/a:exiv2:exiv2
必要的 KB 項目: installed_sw/Exiv2
修補程式發佈日期: 2026/3/1
弱點發布日期: 2026/3/1
參考資訊
CVE: CVE-2026-25884, CVE-2026-27596, CVE-2026-27631
IAVA: 2026-A-0190