CVE-2020-23565

Опубликовано: 05 нояб. 2021

Источник: nvd

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Уязвимость выполнения произвольного кода в Irfanview через обработку специально созданного JPEG 2000 файла

Описание

В Irfanview версии 4.53 присутствует уязвимость, позволяющая злоумышленникам выполнить произвольный код путем использования специально созданного файла JPEG 2000. Связано с ошибкой "Data from Faulting Address controls Branch Selection" (данные из неисправного адреса управляют выбором ветви), начиная с JPEG2000!ShowPlugInSaveOptions_W+0x0000000000032850.

Затронутые версии ПО

Irfanview v4.53

Тип уязвимости

Выполнение произвольного кода

Ссылки

https://github.com/KamasuOri/publicResearch/tree/master/poc/irfanview/3
Third Party Advisory
https://github.com/KamasuOri/publicResearch/tree/master/poc/irfanview/3
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:irfanview:irfanview:4.53:*:*:*:*:*:-:*

EPSS

Процентиль: 59%

0.00388

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-x9r7-2xq4-hqp8

github

больше 3 лет назад

Irfanview v4.53 allows attackers to execute arbitrary code via a crafted JPEG 2000 file. Related to a "Data from Faulting Address controls Branch Selection starting at JPEG2000!ShowPlugInSaveOptions_W+0x0000000000032850".