CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49014

HighCVSS 7.4
Published: Updated: Translated: NVD NIST

Summary

W GDAL w wersjach od 3.1.0 do 3.13.0, funkcja scanForGeometryContainers w sterowniku netCDF umożliwia wykonanie kodu poprzez przepełnienie bufora na stosie. Atakujący może osadzić exploit w postaci zbyt dużego atrybutu geometrii w stworzonym pliku NetCDF.

Risk Assessment

Wykonanie dowolnego kodu na serwerze uruchamiającym GDAL stwarza poważne zagrożenie dla bezpieczeństwa organizacji, mogąc prowadzić do przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację GDAL do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji plików NetCDF przed ich przetwarzaniem.

Original NVD description (English source)

In GDAL 3.1.0 through 3.13.0, scanForGeometryContainers in the netCDF driver allows code execution via a stack-based buffer overflow. It reads a geometry attribute into a fixed-size stack buffer without validating the attribute length. The attacker embeds the exploit as an oversized geometry attribute in a crafted NetCDF file. This achieves arbitrary code execution on the server running GDAL. This is in frmts/netcdf/netcdfsg.cpp.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS