CVE-2026-34545— OpenEXR 输入验证错误漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-34545 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
OpenEXR: integer overflow lead to OOB in HTJ2K decoder
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
OpenEXR provides the specification and reference implementation of the EXR file format, an image storage format for the motion picture industry. From version 3.4.0 to before version 3.4.7, an attacker providing a crafted .exr file with HTJ2K compression and a channel width of 32768 can write controlled data beyond the output heap buffer in any application that decodes EXR images. The write primitive is 2 bytes per overflow iteration or 4 bytes (by another path), repeating for each additional pixel past the overflow point. In this context, a heap write overflow can lead to remote code execution on systems. This issue has been patched in version 3.4.7.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
堆缓冲区溢出
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
OpenEXR 输入验证错误漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
OpenEXR是Academy Software Foundation开源的一种高动态范围图像(HDR)文件格式的开放标准。 OpenEXR 3.4.0至3.4.7之前版本存在输入验证错误漏洞,该漏洞源于攻击者提供具有HTJ2K压缩和通道宽度为32768的特制.exr文件,可以在解码EXR图像的任何应用程序中向输出堆缓冲区之外写入受控数据,可能导致远程代码执行。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| AcademySoftwareFoundation | openexr | >= 3.4.0, < 3.4.7 | - |
二、漏洞 CVE-2026-34545 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-34545 的情报信息
Please 登录 to view more intelligence information
- Release v3.4.7 · AcademySoftwareFoundation/openexr · GitHubx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2026-34545
同批安全公告 · AcademySoftwareFoundation · 2026-04-01 · 共 3 条
| CVE-2026-34544 | OpenEXR 缓冲区错误漏洞 | |
| CVE-2026-34543 | OpenEXR 安全漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-34545
暂无评论