CVE-2026-41511
MediumCVSS 6.2Summary
OpenMcdf to biblioteka .NET / C# do manipulacji plikami w formacie Compound File Binary. W wersjach przed 3.1.3 nie wykrywa cykli w drzewie czerwono-czarnym wpisów katalogowych, co może prowadzić do nieskończonej pętli przy przetwarzaniu plików CFB z cyklem w łańcuchu LeftSiblingID / RightSiblingID.
Risk Assessment
Atakujący może stworzyć złośliwy plik CFB, który spowoduje zawieszenie wątku wywołującego, co może prowadzić do braku dostępności aplikacji. To stwarza ryzyko dla stabilności systemu i może wpływać na inne procesy.
Recommendation
Zaleca się aktualizację biblioteki OpenMcdf do wersji 3.1.3 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt używanych plików CFB w celu wykrycia potencjalnych cykli.
Original NVD description (English source)
OpenMcdf is a fully .NET / C# library to manipulate Compound File Binary File Format files, also known as Structured Storage. Prior to version 3.1.3, OpenMcdf does not detect cycles in the directory entry red-black tree of a Compound File Binary (CFB) document. A crafted CFB file with a cycle in the LeftSiblingID / RightSiblingID chain causes Storage.EnumerateEntries() and Storage.OpenStream() to loop indefinitely, consuming the calling thread with no possibility of recovery via try/catch. This issue has been patched in version 3.1.3.

