Bio-Formats Java反序列化漏洞:通过.bfmemo文件实现攻击

Bio-Formats库在图像处理过程中存在不安全Java反序列化漏洞,攻击者通过精心构造的.bfmemo缓存文件可能触发远程代码执行。

漏洞详情

Bio-Formats 8.3.0及更早版本在进行图像处理时,会对攻击者可控的备忘录缓存文件(.bfmemo)执行不安全的Java反序列化操作。loci.formats.Memoizer类在未经验证、完整性检查或信任机制强制执行的情况下,会自动加载并反序列化与图像关联的备忘录文件。

能够提供精心构造的.bfmemo文件并使其与图像一起被处理的攻击者,可以触发对不可信数据的反序列化。这可能导致拒绝服务、逻辑操纵,或在类路径上存在合适利用链(gadget chains)的环境中,可能实现远程代码执行。

受影响范围

受影响的包: ome:pom-bio-formats (Maven)

受影响的版本: <= 8.3.0

已修复的版本:

技术详情与严重性

该漏洞被分配为CVE-2026-22187,其通用漏洞评分系统(CVSS)总体评分为6.8,属于中等严重性。

CVSS v4基础指标:

  • 攻击向量 (AV): 本地 (L)
  • 攻击复杂度 (AC): 低 (L)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 需要 (A)
  • 受影响系统影响:
    • 机密性影响 (VC): 低 (L)
    • 完整性影响 (VI): 低 (L)
    • 可用性影响 (VA): 高 (H)
  • 后续系统影响: 无 (N)

相关链接与参考

  • NVD漏洞详情:https://nvd.nist.gov/vuln/detail/CVE-2026-22187
  • Bio-Formats官方文档:https://docs.openmicroscopy.org/bio-formats
  • 完整披露邮件列表:https://seclists.org/fulldisclosure/2026/Jan/7
  • VulnCheck公告:https://www.vulncheck.com/advisories/bio-formats-memoizer-unsafe-deserialization-via-bfmemo-cache-files

弱点分类

该漏洞对应的通用弱点枚举(CWE)标识符为CWE-502:反序列化不可信数据。这指的是产品在反序列化不可信数据时,未能充分确保生成的数据是有效的。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次