MEDIUMCVE-2021-22563CVSS 4.5

libjxl 中的内存读取漏洞

平台

组件

libjxl

修复版本

0.6.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2021-22563 描述了libjxl库中的一个越界读取漏洞。当libjxl处理无效的JPEG XL图像时，可能会导致std::vector<std::vector<T>>的越界访问，从而可能导致程序崩溃或恶意利用。该漏洞影响libjxl版本小于或等于0.6.0的系统，建议用户升级至0.6.0以上版本或应用提供的补丁。

影响与攻击场景

该漏洞允许攻击者通过精心构造的JPEG XL图像，触发libjxl库中的越界读取。攻击者可以利用此漏洞导致目标应用程序崩溃，拒绝服务。更严重的是，攻击者可能利用渲染过程访问其他进程的内存，从而可能导致信息泄露或代码执行。虽然目前尚未观察到该漏洞被大规模利用，但由于JPEG XL格式的广泛应用，该漏洞的潜在影响不容忽视。该漏洞的利用方式类似于其他图像处理库中的越界读取漏洞，攻击者可以利用图像数据中的缺陷来绕过安全检查。

利用背景

该漏洞已公开披露，并已发布补丁。目前尚未观察到该漏洞被大规模利用，但由于JPEG XL格式的日益普及，该漏洞的潜在风险不容忽视。该漏洞的严重程度被评定为中等。目前未被添加到CISA KEV目录中。公开的POC代码可能存在，但尚未广泛传播。

哪些人处于风险中翻译中…

Applications and systems that utilize libjxl for JPEG XL image decoding are at risk. This includes image processing software, media players, and web applications that handle JPEG XL images. Specifically, systems relying on older, unpatched versions of libjxl (≤0.6.0) are particularly vulnerable.

检测步骤翻译中…

• c/linux: Use lsof or ps to identify processes using libjxl. Monitor these processes for unexpected crashes or memory access errors. Review system logs for any errors related to libjxl or image decoding.

lsof | grep libjxl
ps aux | grep libjxl

• c/windows: Use Process Explorer to identify processes using libjxl. Monitor these processes for crashes or memory access violations. Examine Windows Event Logs for application errors related to libjxl. • generic web: If libjxl is used in a web application, monitor web server error logs for any errors related to image processing or decoding. Inspect HTTP requests for unusual JPEG XL image content.

攻击时间线

2021-11-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.04% (14% 百分位)

CVSS 向量

受影响的软件

组件libjxl

供应商Google LLC

影响范围修复版本

unspecified – 0.6.00.6.1

弱点分类 (CWE)

CWE-126

时间线

已保留2021-01-05
发布日期2021-11-01
修改日期2024-09-17
EPSS 更新日期2026-04-02

未修复 — 披露已1665天

缓解措施和替代方案

缓解此漏洞的最佳方法是升级libjxl库至0.6.0或更高版本。如果升级不可行，可以考虑应用libjxl官方提供的补丁（https://github.com/libjxl/libjxl/pull/757）。此外，可以实施输入验证措施，严格限制libjxl库处理的JPEG XL图像来源，并对图像进行完整性校验，以防止恶意图像的加载。在无法升级或应用补丁的情况下，可以考虑使用Web应用防火墙（WAF）或代理服务器来过滤潜在的恶意JPEG XL图像。

修复方法

将 libjxl 库升级到 0.6.0 以上版本，或应用 https://github.com/libjxl/libjxl/pull/757 中提供的补丁，以修复处理无效 JPEG XL 图像时的越界读取漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2021-22563 — 越界读取漏洞在libjxl中？

CVE-2021-22563描述了libjxl库在处理无效JPEG XL图像时存在的越界读取漏洞，可能导致程序崩溃或信息泄露。

我是否受到CVE-2021-22563在libjxl中影响？

如果您的系统使用了libjxl库版本小于或等于0.6.0，则可能受到此漏洞的影响。

我如何修复CVE-2021-22563在libjxl中？

建议升级libjxl库至0.6.0或更高版本，或应用libjxl官方提供的补丁。

CVE-2021-22563是否正在被积极利用？

目前尚未观察到该漏洞被大规模利用，但由于JPEG XL格式的日益普及，该漏洞的潜在风险不容忽视。

在哪里可以找到libjxl官方关于CVE-2021-22563的公告？

请访问libjxl官方GitHub仓库：https://github.com/libjxl/libjxl