CVE-2026-49014
HighCVSS 7.4Summary
W GDAL w wersjach od 3.1.0 do 3.13.0, funkcja scanForGeometryContainers w sterowniku netCDF umożliwia wykonanie kodu poprzez przepełnienie bufora na stosie. Atakujący może osadzić exploit w postaci zbyt dużego atrybutu geometrii w stworzonym pliku NetCDF.
Risk Assessment
Wykonanie dowolnego kodu na serwerze uruchamiającym GDAL stwarza poważne zagrożenie dla bezpieczeństwa organizacji, mogąc prowadzić do przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację GDAL do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji plików NetCDF przed ich przetwarzaniem.
Original NVD description (English source)
In GDAL 3.1.0 through 3.13.0, scanForGeometryContainers in the netCDF driver allows code execution via a stack-based buffer overflow. It reads a geometry attribute into a fixed-size stack buffer without validating the attribute length. The attacker embeds the exploit as an oversized geometry attribute in a crafted NetCDF file. This achieves arbitrary code execution on the server running GDAL. This is in frmts/netcdf/netcdfsg.cpp.

