Informazioni sul CVE-2024-32035
Memory Allocation with Excessive Size Value in SixLabors.ImageSharp
CWE ID: CWE-789
Base Score (CVSS): N/A
CVE: CVE-2024-32035
Descrizione: ImageSharp è un’API per grafica 2D. Una vulnerabilità scoperta nella libreria ImageSharp, dove il processamento di file specialmente creati può portare a un utilizzo eccessivo della memoria nei decodificatori di immagini. La vulnerabilità si attiva quando ImageSharp tenta di elaborare file immagine progettati per sfruttare questo difetto. Questo difetto può essere sfruttato per causare un denial of service (DoS) consumando la memoria del processo, influenzando applicazioni e servizi che si affidano a ImageSharp per compiti di elaborazione di immagini. Gli utenti e gli amministratori sono invitati ad aggiornare alla versione più recente di ImageSharp che risolve questa vulnerabilità per mitigare il rischio di sfruttamento. Il problema è stato corretto in v3.1.4 e v2.1.8.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/SixLabors/ImageSharp/security/advisories/GHSA-g85r-6x2q-45w7
- https://github.com/SixLabors/ImageSharp/commit/b6b08ac3e7cea8da5ac1e90f7c0b67dd254535c3
- https://github.com/SixLabors/ImageSharp/commit/f21d64188e59ae9464ff462056a5e29d8e618b27
- https://docs.sixlabors.com/articles/imagesharp.web/processingcommands.html#securing-processing-commands
- https://docs.sixlabors.com/articles/imagesharp/security.html
Prodotti interessati
- SixLabors – ImageSharp
Relazioni con altri prodotti
Produttore:SixLabors
Prodotto: ImageSharp
Anno: 2024
CWE: CWE-789
CVSS: 0.0