Katalog CVE

CVE-2026-12891

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W pakiecie GStreamer gst-plugins-bad odkryto podatność polegającą na odczycie poza zakresem pamięci podczas przetwarzania nieprawidłowego strumienia wideo H.266/VVC z spreparowaną wartością współczynnika proporcji. Atakujący może wykorzystać ten błąd, dostarczając złośliwy plik lub strumień wideo, co prowadzi do wycieku do 8 bajtów sąsiedniej pamięci przez metadane wideo.

Ocena ryzyka

Ryzyko polega na potencjalnym wycieku wrażliwych danych z przestrzeni adresowej aplikacji korzystającej z GStreamer, co może umożliwić atakującemu uzyskanie informacji takich jak klucze, hasła lub inne poufne dane przechowywane w pamięci.

Rekomendacja

Zaleca się natychmiastową aktualizację pakietu gst-plugins-bad do najnowszej dostępnej wersji zawierającej poprawkę. Należy również unikać przetwarzania niezaufanych plików lub strumieni H.266/VVC do czasu zastosowania aktualizacji.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the GStreamer gst-plugins-bad package. When processing a malformed H.266/VVC video stream with a crafted aspect ratio indicator value, the H.266 parser performs an out-of-bounds read of up to 8 bytes from adjacent memory. This flaw allows an attacker to craft a malicious H.266 video file or stream that, when processed by a GStreamer-based application, could leak limited memory contents through video metadata, potentially exposing sensitive information from the application's address space.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS