CVE-2026-24852: Heap Buffer Overflow in iccDEV icXmlParseTextString

关键漏洞信息 漏洞概述 标题: heap-buffer-overflow in icXmlParseTextString() 发布者: xsscx 发布日期: 1 hour ago (具体时间未给出) 漏洞标识符: GHSA-q8g2-mp32-3j7f CVE ID: CVE-2026-24852 漏洞影响 受影响版本: <2.3.1.2 修复版本: 2.3.1.2 严重程度: 中等 (CVSS 6.1/10) CVSS v3 Base Metrics: - Attack Vector: Local - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Unchanged - Confidentiality: Low - Integrity: None - Availability: High 漏洞详情 概要 在调用 函数尝试读取一个非空终止缓冲区时，发生堆缓冲区越界读取，可能导致堆内存内容泄露和应用程序终止。 影响 此漏洞影响使用 iccDEV 库处理 ICC 颜色配置文件的用户。当用户可控的输入以不安全的方式被纳入 ICC 配置文件数据或其他结构化二进制块中时，会出现 ICC 配置文件注入漏洞。 细节 ICC 配置文件是具有严格内部偏移、长度字段和标签表的二进制结构。成功利用此漏洞可能允许攻击者： 操纵 ICC 标签表、偏移量或大小字段 触发解析错误或在下游图像处理库中造成内存损坏 绕过依赖于配置文件元数据的应用程序逻辑 导致拒绝服务或在某些情况下，当易受攻击的本地库处理恶意配置文件时，实现任意代码执行 修复措施和解决办法 修复 修复编号: #540 绕过方法 提供情况: 未提供 弱点 CWE-122 CWE-125 CWE-170 参考 #517 贡献者 修复开发人员: ChrisCoxArt 修复验证者: xsscx

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2026-24852: Heap Buffer Overflow in iccDEV icXmlParseTextString

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2026-24852: Heap Buffer Overflow in iccDEV icXmlParseTextString

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！