关键信息 漏洞概述 漏洞名称: NPD & UB in CIccTagXmlFloatNum::ParseXml() 漏洞ID: GHSA-398v-jvcg-p8f3 发布者: xsscx 发布时间: 3 days ago 影响 受影响版本: < 2.3.1.2 修复版本: 2.3.1.2 严重程度: 高 (7.1/10) CVSS v3 base metrics: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 需要 - 作用范围: 未改变 - 机密性影响: 无 - 完整性影响: 低 - 可用性影响: 高 漏洞详情 CVE ID: CVE-2026-24409 弱点类别: - CWE-20 - CWE-476 - CWE-690 - CWE-758 受影响用户: 使用iccDEV库处理ICC颜色配置文件的用户 安全影响: 用户可控输入被不安全地纳入ICC配置文件数据或其他结构化二进制块中,导致以下潜在后果: - 操纵ICC标签表、偏移量或大小字段 - 触发解析错误或下游图像处理库中的内存损坏 - 绕过依赖于配置文件元数据的应用程序逻辑 - 导致服务拒绝或在某些情况下,当易受攻击的本机库处理恶意配置文件时,实现任意代码执行 修复措施 修复提交: #513 绕过方法 是否有可用的绕过办法: 没有提供 参考链接 #484 致谢 修复开发人员: ChrisCoxArt 报告人: xsscx