概要
Exiv2は、Exif、IPTC、XMP、ICCなどの画像メタデータを読み書き、削除、変更するためのC++ライブラリおよびコマンドラインユーティリティです。この度、Exiv2のCRW画像パーサーにおいて、境界外読み取り(Out-of-bounds read)の脆弱性(CVE-2026-25884)が発見されたと報告されています。
この問題は、Exiv2のバージョン0.28.8で修正されています。
影響範囲
- 影響を受けるソフトウェア: Exiv2
- 影響を受けるバージョン: 0.28.8より前のすべてのバージョン
想定される影響
境界外読み取りの脆弱性は、通常、プログラムのクラッシュ(サービス拒否)や、意図しないメモリ領域からの情報漏洩につながる可能性があります。
本脆弱性の深刻度は「LOW」と評価されており、直接的なシステム乗っ取りなどの重大な影響は限定的であると考えられますが、不正なCRWファイルを処理した場合に予期せぬ動作を引き起こす可能性があります。
攻撃成立条件・悪用状況
攻撃者が細工されたCRW形式の画像ファイルをExiv2で処理させることで、脆弱性が悪用される可能性があります。
現時点では、本脆弱性の悪用に関する具体的な報告は確認されていません。
推奨対策
今すぐできる対策(優先度:高)
- Exiv2のアップデート: Exiv2をバージョン0.28.8以降にアップデートしてください。これは本脆弱性に対する最も直接的かつ効果的な対策です。
中長期的な対策
- 信頼できないファイルの処理に関する注意: 信頼できないソースからの画像ファイルを処理する際には、注意を払い、可能な限りサンドボックス環境で処理することを検討してください。
一時的な緩和策
本脆弱性に対する一時的な緩和策は限定的です。不審なCRWファイルを処理しない、または処理するシステムを隔離するなどの運用上の対策が考えられます。
確認方法
使用しているExiv2のバージョンを確認し、0.28.8未満である場合はアップデートが必要です。
コマンドラインツールを使用している場合は、exiv2 --versionなどのコマンドでバージョン情報を確認できる場合があります。
参考情報
- CVE-2026-25884 詳細: https://cvefeed.io/vuln/detail/CVE-2026-25884