漏洞关键信息 漏洞摘要 问题:在 函数中的 操作导致源缓冲区和目标缓冲区重叠。 位置: 影响 受影响用户:使用 库处理 ICC 颜色配置文件的用户。 潜在危害:用户可控的输入以不安全的方式纳入 ICC 配置文件数据或其他结构化的二进制块中,导致 ICC 配置文件注入漏洞。 成功利用可能带来的后果: - 操纵 ICC 标签表、偏移量或大小字段。 - 触发下游图像处理库中的解析错误或内存损坏。 - 绕过依赖配置文件元数据的应用程序逻辑。 - 导致拒绝服务或在某些上下文中通过漏洞库处理恶意配置文件来实现任意代码执行。 详细信息 数据流: - 源: - 沉淀: 限制: - 无法控制写地址(堆栈缓冲区在固定偏移量处) - 无法控制目标指针 - 无法定位任意内存 修复 受影响版本:<2.3.1.3 修复版本:2.3.1.4 报告者:xsscx 修复开发者:ChrisCoxArt CVSS v3 基本指标 严重性:高(7.8/10) 攻击矢量:本地 攻击复杂性:低 所需权限:无 用户交互:需要 范围:无变更 机密性、完整性和可用性影响:高 弱点 相关 CWE:119, 123, 628, 682