CVE-2022-4988Alien::FreeImage是Perl的一个模块,用于封装FreeImage库。该模块在1.001及之前的版本中,捆绑了2017年发布的FreeImage 3.17.0版本。由于该版本包含多个已知安全漏洞(如CVE-2015-0852和CVE-2025-65803),攻击者可利用这些漏洞对使用该模块的应用程序发起攻击。这些漏洞主要涉及图像处理中的内存破坏问题,可能导致拒绝服务或代码执行。
Alien::FreeImage模块通过在发行包中嵌入静态库的方式来提供FreeImage的功能。在1.001版本中,它包含了FreeImage 3.17.0的源代码。该版本的FreeImage库存在已知的缓冲区溢出漏洞(如CVE-2015-0852),这些漏洞源于对图像文件(如BMP、ICO等)头信息或像素数据的解析缺乏足够的边界检查。当攻击者诱导受害者应用程序使用Alien::FreeImage处理特制的恶意图像文件时,会导致栈溢出或堆溢出。由于CVSS向量为AV:N/AC:L/PR:N/UI:N/S:U,攻击者无需用户交互即可通过网络发起攻击。成功利用可能导致信息泄露、数据篡改,甚至在被攻击服务器上执行任意代码。