Все бюллетени/p10/ALT-PU-2023-7312-7
ALT-PU-2023-7312-7

Обновление пакета libwebp в ветке p10

Версия1.3.2-alt1
Задание#334597
Опубликовано2026-02-05
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (11)

BDU:2023-02923
HIGH7.5

Уязвимость функции EncodeAlphaInternal() библиотеки libwebp для кодирования и декодирования изображений в формате WebP браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2023-05-31Изменено: 2025-09-05
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 2.0ВЫСОКАЯ 7.6
CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:C
Ссылки
BDU:2023-05510
HIGH8.8

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2023-09-13Изменено: 2025-09-05
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
CVE-2023-1999
HIGH7.5

There exists a use after free/double free in libwebp. An attacker can use the ApplyFiltersAndEncode() function and loop through to free best.bw and assign best = trial pointer. The second loop will then return 0 because of an Out of memory error in VP8 encoder, the pointer is still assigned to trial and the AddressSanitizer will attempt a double free.

Опубликовано: 2023-06-20Изменено: 2025-02-13
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2023-4863
HIGH8.8

Heap buffer overflow in libwebp in Google Chrome prior to 116.0.5845.187 and libwebp 1.3.2 allowed a remote attacker to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: Critical)

Опубликовано: 2023-09-12Изменено: 2025-10-24
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки
GHSA-cxjf-x6jp-p7mc
HIGH8.6

opencv-contrib-python bundled libwebp binaries in wheels that are vulnerable to CVE-2023-4863

Опубликовано: 2024-08-31
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 4.0ВЫСОКАЯ 8.6
CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Ссылки
GHSA-j7hp-h8jx-5ppr
HIGH8.8

libwebp: OOB write in BuildHuffmanTable

Опубликовано: 2023-09-12Изменено: 2025-07-09
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки
GHSA-jh2j-j4j9-crg3
HIGH8.6

opencv-python-headless bundled libwebp binaries in wheels that are vulnerable to CVE-2023-4863

Опубликовано: 2024-08-31
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 4.0ВЫСОКАЯ 8.6
CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Ссылки
GHSA-qr4w-53vh-m672
HIGH8.6

opencv-python bundled libwebp binaries in wheels that are vulnerable to CVE-2023-4863

Опубликовано: 2024-08-31Изменено: 2024-08-31
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 4.0ВЫСОКАЯ 8.6
CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Ссылки
GHSA-w2pj-9cgh-mq2c
HIGH8.6

opencv-contrib-python-headless bundled libwebp binaries in wheels that are vulnerable to CVE-2023-4863

Опубликовано: 2024-08-31
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 4.0ВЫСОКАЯ 8.6
CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Ссылки
GHSA-wqcr-xm43-hpqr
HIGH8.8

Vulnerable version of libwebp and can be exploited with a malicious source image

Опубликовано: 2023-10-06
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки