关键漏洞信息 漏洞概述 标题: heap-buffer-overflow in icXmlParseTextString() 发布者: xsscx 发布日期: 1 hour ago (具体时间未给出) 漏洞标识符: GHSA-q8g2-mp32-3j7f CVE ID: CVE-2026-24852 漏洞影响 受影响版本: <2.3.1.2 修复版本: 2.3.1.2 严重程度: 中等 (CVSS 6.1/10) CVSS v3 Base Metrics: - Attack Vector: Local - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Unchanged - Confidentiality: Low - Integrity: None - Availability: High 漏洞详情 概要 在调用 函数尝试读取一个非空终止缓冲区时,发生堆缓冲区越界读取,可能导致堆内存内容泄露和应用程序终止。 影响 此漏洞影响使用 iccDEV 库处理 ICC 颜色配置文件的用户。当用户可控的输入以不安全的方式被纳入 ICC 配置文件数据或其他结构化二进制块中时,会出现 ICC 配置文件注入漏洞。 细节 ICC 配置文件是具有严格内部偏移、长度字段和标签表的二进制结构。成功利用此漏洞可能允许攻击者: 操纵 ICC 标签表、偏移量或大小字段 触发解析错误或在下游图像处理库中造成内存损坏 绕过依赖于配置文件元数据的应用程序逻辑 导致拒绝服务或在某些情况下,当易受攻击的本地库处理恶意配置文件时,实现任意代码执行 修复措施和解决办法 修复 修复编号: #540 绕过方法 提供情况: 未提供 弱点 CWE-122 CWE-125 CWE-170 参考 #517 贡献者 修复开发人员: ChrisCoxArt 修复验证者: xsscx