Katalog CVE

CVE-2026-12892

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

W bibliotece GStreamer (gst-plugins-bad) podczas przetwarzania spreparowanego pliku wideo H.264 z uszkodzonymi jednostkami NAL rozszerzeń MVC lub SVC występuje odczyt o jeden bajt poza stertą. Błąd pojawia się, gdy parser sprawdza informacje o granicach slajsu bez weryfikacji, czy jednostka NAL zawiera wystarczającą ilość danych za nagłówkiem rozszerzenia.

Ocena ryzyka

Atakujący może nakłonić użytkownika do otwarcia złośliwego pliku wideo H.264, co może spowodować awarię aplikacji lub wyciek pojedynczego bajtu pamięci sterty, potencjalnie ujawniając wrażliwe dane.

Rekomendacja

Należy niezwłocznie zaktualizować pakiet gst-plugins-bad do wersji zawierającej poprawkę dla CVE-2026-12892. Do czasu aktualizacji unikać otwierania nieznanych plików H.264 w aplikacjach korzystających z GStreamer.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in GStreamer's gst-plugins-bad package. When processing a specially crafted H.264 video file containing malformed MVC or SVC extension slice NAL units, a 1-byte heap out-of-bounds read can occur during parsing. This happens when the parser attempts to check slice boundary information without first verifying that the NAL unit contains enough data beyond the extension header. An attacker could exploit this by tricking a user into opening a malicious H.264 video file, potentially causing the application to crash or leak a single byte of heap memory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS