关键信息总结 漏洞详情 漏洞名称: Heap Buffer Overflow in icCurvesFromXml() CVE ID: CVE-2026-24412 发布者: xsscx 发布时间: 3 days ago GHSA ID: GHSA-6rf4-63j2-cfrr 严重性 等级: High CVSS v3分数: 8.8 / 10 CVSS v3 Base Metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: High 影响范围 受影响版本: < 2.3.1.2 已修复版本: 2.3.1.2 漏洞描述 描述: 该漏洞影响使用iccDEV库处理ICC颜色配置文件的用户。当用户可控输入以不安全的方式被纳入ICC配置文件数据或其他结构化的二进制块时,会出现ICC配置文件注入漏洞。 详细: ICC配置文件是具有严格内部偏移、长度字段和标签表的二进制结构。成功的利用可能会允许攻击者: - 操控ICC标签表、偏移量或字段大小 - 触发下游图像处理库中的解析错误或内存损坏 - 绕过依赖于配置文件元数据的应用程序逻辑 - 导致拒绝服务,或在某些情况下,当易受攻击的本地库处理恶意配置文件时,实现任意代码执行 修复与绕过 补丁: #521 临时解决方案: 未提供 弱点类型 CWE-20 CWE-122 贡献者 修复开发者: ChrisCoxArt 报告者: xsscx