Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13158

Опубликовано: 04 июл. 2025
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость библиотеки обработки изображений с горизонтальной топологией libvips связана с переполнением буфера в куче. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

РЕД ОС
libvips
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
до 8.16.1 (libvips)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/libvips/libvips/commit/9ab6784f693de50b00fa535b9efbbe9d2cbf71f2
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения vips до версии 8.14.1-3+deb12u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.00099
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251014-04

CVSS3: 5.5
redos
6 месяцев назад

Уязвимость vips

ubuntu логотип

CVE-2025-29769

CVSS3: 5.5
ubuntu
12 месяцев назад

libvips is a demand-driven, horizontally threaded image processing library. The heifsave operation could incorrectly determine the presence of an alpha channel in an input when it was not possible to determine the colour interpretation, known internally within libvips as "multiband". There aren't many ways to create a "multiband" input, but it is possible with a well-crafted TIFF image. If a "multiband" TIFF input image had 4 channels and HEIF-based output was requested, this led to libvips creating a 3 channel HEIF image without an alpha channel but then attempting to write 4 channels of data. This caused a heap buffer overflow, which could crash the process. This vulnerability is fixed in 8.16.1.

nvd логотип

CVE-2025-29769

CVSS3: 5.5
nvd
12 месяцев назад

libvips is a demand-driven, horizontally threaded image processing library. The heifsave operation could incorrectly determine the presence of an alpha channel in an input when it was not possible to determine the colour interpretation, known internally within libvips as "multiband". There aren't many ways to create a "multiband" input, but it is possible with a well-crafted TIFF image. If a "multiband" TIFF input image had 4 channels and HEIF-based output was requested, this led to libvips creating a 3 channel HEIF image without an alpha channel but then attempting to write 4 channels of data. This caused a heap buffer overflow, which could crash the process. This vulnerability is fixed in 8.16.1.

debian логотип

CVE-2025-29769

CVSS3: 5.5
debian
12 месяцев назад

libvips is a demand-driven, horizontally threaded image processing lib ...

EPSS

Процентиль: 27%
0.00099
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2