CSIRT Toscana Disponibili PoC per lo sfruttamento di due vulnerabilità nella libreria libpng (AL02/251124/CSIRT-ITA)
Data:
24 Novembre 2025
Impatto Sistemico
Critico (75.76)
Sintesi
Disponibili Proof of Concept (PoC) per lo sfruttamento delle CVE-2025-64720 e CVE-2025-65018 – corrette nei commit presenti nella sezione Riferimenti – relative a libpng, libreria open source utilizzata per la lettura e scrittura di file PNG (Portable Network Graphics). Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malevolo di eseguire codice arbitrario, di accedere ad informazioni sensibili o di causare un’interruzione del servizio sui sistemi target.
Tipologia
- Arbitrary Code Execution
- Information Disclosure
- Denial of Service
Prodotti e versioni affette
- libpng 1.6.x, versioni precedenti alla 1.6.51
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.
Riferimenti
- https://github.com/pnggroup/libpng/security/advisories/GHSA-7wv6-48j4-hj3g
- https://github.com/pnggroup/libpng/security/advisories/GHSA-hfc7-ph9c-wcww
- https://github.com/pnggroup/libpng/commit/08da33b4c88cfcd36e5a706558a8d7e0e4773643
- https://github.com/pnggroup/libpng/commit/16b5e3823918840aae65c0a6da57c78a5a496a4d
- https://github.com/pnggroup/libpng/commit/218612ddd6b17944e21eda56caf8b4bf7779d1ea
CVE
| CVE-ID | |
|---|---|
| CVE-2025-64720 | CVE-2025-65018 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 24-11-2025 | 24/11/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
24 Novembre 2025, 14:49