CVE-2026-22187 in Bio-Formats
Riassunto
di VulDB • 21/06/2026
Le versioni di Bio-Formats fino alla 8.3.0 inclusa eseguono una deserializzazione Java non sicura dei file della cache di memoizzazione controllati dall'attaccante (.bfmemo) durante l'elaborazione delle immagini. La classe loci.formats.Memoizer carica e deserializza automaticamente i file di memo associati alle immagini senza convalida, controlli di integrità o imposizione dell'affidabilità (trust enforcement). Un attaccante in grado di fornire un file .bfmemo manipolato ad hoc insieme a un'immagine può innescare la deserializzazione di dati non attendibili, che potrebbe causare una negazione del servizio (DoS), manipolazione della logica o potenzialmente l'esecuzione remota di codice (RCE) negli ambienti in cui sono presenti catene di gadget idonee sul classpath.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.