CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 1CVE-2020-20739
https://notcve.org/view.php?id=CVE-2020-20739
im_vips2dz in /libvips/libvips/deprecated/im_vips2dz.c in libvips before 8.8.2 has an uninitialized variable which may cause the leakage of remote server path or stack address. En la función im_vips2dz en la biblioteca /libvips/libvips/deprecated/im_vips2dz.c en libvips versiones anteriores a 8.8.2, presenta una variable no inicializada que puede causar la filtración de la ruta del servidor remoto o la dirección de pila • https://github.com/libvips/libvips/commit/2ab5aa7bf515135c2b02d42e9a72e4c98e17031a https://github.com/libvips/libvips/issues/1419 https://lists.debian.org/debian-lts-announce/2020/11/msg00049.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZULVPQQ4QDFSQCXFYBUXEM7UXJAOKLSP • CWE-909: Missing Initialization of Resource •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17534
https://notcve.org/view.php?id=CVE-2019-17534
vips_foreign_load_gif_scan_image in foreign/gifload.c in libvips before 8.8.2 tries to access a color map before a DGifGetImageDesc call, leading to a use-after-free. La función vips_foreign_load_gif_scan_image en el archivo foreign/gifload.c en libvips versiones anteriores a que 8.8.2 intenta acceder a un mapa de colores antes de una llamada a DGifGetImageDesc, lo que conlleva a un uso de la memoria previamente liberada. • https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=16796 https://github.com/libvips/libvips/commit/ce684dd008532ea0bf9d4a1d89bacb35f4a83f4d https://github.com/libvips/libvips/compare/v8.8.1...v8.8.2 • CWE-416: Use After Free •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6976
https://notcve.org/view.php?id=CVE-2019-6976
libvips before 8.7.4 generates output images from uninitialized memory locations when processing corrupted input image data because iofuncs/memory.c does not zero out allocated memory. This can result in leaking raw process memory contents through the output image. Libvips versión anterior a 8.7.4 genera imágenes de salida desde ubicaciones de memoria no inicializadas cuando se procesan datos de imagen de entrada corruptos porque el archivo iofuncs/memory.c no lleva a cero la memoria asignada. Esto puede provocar la pérdida de contenidos de la memoria de proceso sin procesar mediante la imagen de salida. • https://blog.silentsignal.eu/2019/04/18/drop-by-drop-bleeding-through-libvips https://github.com/libvips/libvips/commit/00622428bda8d7521db8d74260b519fa41d69d0a https://github.com/libvips/libvips/releases/tag/v8.7.4 • CWE-908: Use of Uninitialized Resource •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2018-7998
https://notcve.org/view.php?id=CVE-2018-7998
In libvips before 8.6.3, a NULL function pointer dereference vulnerability was found in the vips_region_generate function in region.c, which allows remote attackers to cause a denial of service or possibly have unspecified other impact via a crafted image file. This occurs because of a race condition involving a failed delayed load and other worker threads. En libvips, en versiones anteriores a la 8.6.3, se ha encontrado una vulnerabilidad de desreferencia de puntero de función NULL en la función rvips_region_generate en region.c. Esto permite que atacantes remotos provoquen una denegación de servicio (DoS) u otro tipo de impacto sin especificar mediante un archivo de imagen manipulado. Esto ocurre debido a una condición de carrera relacionada con una carga aplazada fallida y otros subprocesos de trabajo. • https://github.com/jcupitt/libvips/commit/20d840e6da15c1574b3ed998bc92f91d1e36c2a5 https://github.com/jcupitt/libvips/issues/893 https://lists.debian.org/debian-lts-announce/2018/03/msg00009.html • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') CWE-476: NULL Pointer Dereference •