CVE-2026-12891
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W pakiecie GStreamer gst-plugins-bad odkryto podatność polegającą na odczycie poza zakresem pamięci podczas przetwarzania nieprawidłowego strumienia wideo H.266/VVC z spreparowaną wartością współczynnika proporcji. Atakujący może wykorzystać ten błąd, dostarczając złośliwy plik lub strumień wideo, co prowadzi do wycieku do 8 bajtów sąsiedniej pamięci przez metadane wideo.
Ocena ryzyka
Ryzyko polega na potencjalnym wycieku wrażliwych danych z przestrzeni adresowej aplikacji korzystającej z GStreamer, co może umożliwić atakującemu uzyskanie informacji takich jak klucze, hasła lub inne poufne dane przechowywane w pamięci.
Rekomendacja
Zaleca się natychmiastową aktualizację pakietu gst-plugins-bad do najnowszej dostępnej wersji zawierającej poprawkę. Należy również unikać przetwarzania niezaufanych plików lub strumieni H.266/VVC do czasu zastosowania aktualizacji.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the GStreamer gst-plugins-bad package. When processing a malformed H.266/VVC video stream with a crafted aspect ratio indicator value, the H.266 parser performs an out-of-bounds read of up to 8 bytes from adjacent memory. This flaw allows an attacker to craft a malicious H.266 video file or stream that, when processed by a GStreamer-based application, could leak limited memory contents through video metadata, potentially exposing sensitive information from the application's address space.

