关键漏洞信息 漏洞概述 漏洞名称: OOB in CIccXform3DLut::Apply() CVE ID: CVE-2026-25585 包名: iccDEV 受影响版本: <2.3.1.2 已修复版本: 2.3.1.3 漏洞描述 问题总结: 在IccCmm.cpp:5793处理ICC配置文件时,会触发色彩管理模块进行不恰当的数组边界验证,导致越界读取,可能引发内存泄露或段故障。 影响: 影响处理ICC颜色配置文件的iccDEV库用户。当用户可控输入被不安全地嵌入到ICC配置文件数据或其他结构化二进制中时,ICC配置文件注入漏洞就会发生。 详细: 成功利用该漏洞可能允许攻击者操纵ICC标签表、偏移量或尺寸字段,触发解析错误或下游图像处理库中的内存损坏,绕过依赖于配置文件元数据的应用程序逻辑,造成服务中断,某些情况下,当漏洞应用库处理恶意配置文件时,可能执行任意代码。 分析 严重性: 高(7.8/10) CVSS v3 基本指标: - 攻击向量: 本地 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 需要 - 范围: 无变化 - 机密性、完整性、可用性影响: 高 CVSS: 3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 弱点标识符: CWE-119, CWE-125, CWE-129, CWE-787 修复与报告 修复开发者: ChrisCoxArt 报告者: XsscX 相关问题: Issue #552, PR #563 补丁: 最新构建, 最新WASM 应对措施 目前无提供绕行方案