Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11271

Опубликовано: 07 апр. 2025
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость компонента XWD File Parser графического редактора GIMP связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

ООО «Ред Софт»
АО «ИВК»
ООО «РусБИТех-Астра»
The GIMP Team

Наименование ПО

РЕД ОС
АЛЬТ СП 10
Astra Linux Special Edition
GIMP

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
до 3.0.0 (GIMP)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для GIMP:
https://www.gimp.org/news/2025/03/16/gimp-3-0-released
https://www.zerodayinitiative.com/advisories/ZDI-25-203/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет gimp до 2.10.34-1+deb12u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00135
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-2760

CVSS3: 7.8
ubuntu
8 месяцев назад

GIMP XWD File Parsing Integer Overflow Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of GIMP. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of XWD files. The issue results from the lack of proper validation of user-supplied data, which can result in an integer overflow before allocating a buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-25082.

nvd логотип

CVE-2025-2760

CVSS3: 7.8
nvd
8 месяцев назад

GIMP XWD File Parsing Integer Overflow Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of GIMP. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of XWD files. The issue results from the lack of proper validation of user-supplied data, which can result in an integer overflow before allocating a buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-25082.

debian логотип

CVE-2025-2760

CVSS3: 7.8
debian
8 месяцев назад

GIMP XWD File Parsing Integer Overflow Remote Code Execution Vulnerabi ...

suse-cvrf логотип

SUSE-SU-2025:03075-1

suse-cvrf
4 месяца назад

Security update for gimp

github логотип

GHSA-q89g-m3mc-fgwc

CVSS3: 7.8
github
8 месяцев назад

GIMP XWD File Parsing Integer Overflow Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of GIMP. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of XWD files. The issue results from the lack of proper validation of user-supplied data, which can result in an integer overflow before allocating a buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-25082.

EPSS

Процентиль: 34%
0.00135
Низкий

7.8 High

CVSS3

7.2 High

CVSS2