Een kritiek lek is ontdekt in OpenJPEG, een open-source JPEG 2000 codec, met de identificatie CVE-2025-54874. Beïnvloedde versies, zoals OpenJPEG 2.5.3 en eerder, staan bloot aan een ongeautoriseerd OOB heap geheugen schrijven door het opj_jp2_read_header functie aan te roepen wanneer de data stream p_stream te kort is en p_image niet is geïnitialiseerd.
Overzicht
Dit probleem wordt veroorzaakt door onjuist gebruik van ongeïntegreerde variabelen, aangeduid als CWE-457. Met een basisbeoordeling van 6.6 op de CVSS schaal, kan dit lek lokaal worden uitgevoerd met weinig complexiteit en zonder dat gebruikersinteractie noodzakelijk is. Dergelijke aanval kan ernstige gevolgen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van systemen.
Aanbevelingen
- Werk OpenJPEG bij naar de meest recente versie die dit probleem oplost. Controleer of versie 2.5.3 of eerder niet meer gebruikt worden in uw systemen.
- Herzie en volg deze bevestigde patch om volledige bescherming te verzekeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54874?
Dit is een veiligheidslek in de OpenJPEG codec dat kwalijk kan uitpakken door ongecontroleerde geheugenbeschrijving.
Welke systemen zijn kwetsbaar voor CVE-2025-54874?
Alle systemen die OpenJPEG versie 2.5.3 of eerder gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar die het probleem oplost. Zie deze link voor de details.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongecontroleerde toegang krijgen tot het geheugengebied, waardoor hij de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem kan bedreigen.
