libpng APNG push-mode解析器数据注入漏洞(CVE-2026-40390)

漏洞概述 漏洞名称: Chunk smuggling in push-mode APNG parser via unconsumed chunk body CVE ID: CVE-2026-40390 CVSS v3 base metrics: Severity: Moderate (5.4 / 10) Attack vector: Network Attack complexity: Low Privileges required: None User interaction: Required Scope: Unchanged Confidentiality: None Integrity: Low Availability: Low 描述: 在push-mode APNG解析器中，三个帧间块丢弃路径在清除块头标志时未消耗块体和CRC，允许攻击者控制的字节在忽略的辅助块中被重新解释为新的块头，从而将数据注入到 中。 严重性: 这是一个中等严重性的漏洞。实际影响取决于应用程序的CRC错误处理配置。 默认配置: libpng的默认行为是在CRC不匹配和序列号违规时调用 。在默认设置下， smuggled data会触发致命解析错误，阻止其到达应用程序。图像无法加载，影响仅限于服务拒绝。一个精心制作的APNG会拒绝渲染。 宽松CRC配置: 明确通过 （例如 ）放宽CRC错误处理的应用程序可能会错误地渲染此数据。在这种情况下，攻击者控制的字节在忽略的辅助块中到达APNG序列号计数器，并被解码为帧像素数据。没有代码执行结果（zlib输出写入预分配的缓冲区），但渲染的图像包含攻击者选择的像素。一个精心制作的长块会超出载体块体，导致超出载体块边界的级联去同步化。 攻击要求: 攻击需要通过网络交付并通过push-mode应用程序打开的恶意PNG。不需要调用者合同违规。需要顺序模式读取。顺序模式读取不受影响。 影响范围 受影响的版本: libpng: 1.8.0 (trunk) libpng-apng: 所有版本 下游影响: 使用APNG修补的libpng 1.6.x在push-mode中的下游应用程序应验证它们是否调用 以使用宽松的错误处理模式。使用默认CRC错误处理的应用程序将拒绝损坏的数据，通过 ，并且不会冒险接受 smuggled 帧数据。 修复方案 补丁版本: libpng: 1.8.0 (trunk) at commit libpng-apng: 无补丁 相关工作区: 使用顺序读取（ / / ）的应用程序不受影响。只有push-mode应用程序使用 是脆弱的。对于push-mode应用程序，除了应用修复外，没有其他工作区。 相关修复: 在 分支上，提交 足以修复此漏洞。另一方面，下游消费者在 上应用的 补丁也应应用提交 ，以修复传递给 的无效长度值（即，字面量4）的修复。在IDAT尾部调用 时，此修复被跟踪在GitHub issue #854中。它与IDAT丢弃路径无关，且未在此建议中覆盖。 报告者: Seung Min Shin (신성민), Ajou University. 参考: Commit : 修复在分支 上。 Commit : 为相同的push-mode IDAT补丁修复；GitHub issue #854，没有单独的补丁。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

libpng APNG push-mode解析器数据注入漏洞(CVE-2026-40390)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

libpng APNG push-mode解析器数据注入漏洞(CVE-2026-40390)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！