CVE-2026-14604
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W bibliotece Open Asset Import Library Assimp do wersji 6.0.4 wykryto podatność w funkcji Assimp::Exporter::ExportToBlob w pliku code/AssetLib/Ply/PlyLoader.cpp. Manipulacja w obsłudze modeli PLY prowadzi do podwójnego zwolnienia pamięci (double free). Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
Ocena ryzyka
Podatność umożliwia zdalne wykonanie kodu lub awarię aplikacji wykorzystującej bibliotekę Assimp do przetwarzania plików PLY, co może prowadzić do przejęcia kontroli nad systemem lub przerwania działania usługi.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Assimp do wersji nowszej niż 6.0.4, gdy tylko producent wyda łatkę. Do czasu aktualizacji zaleca się ograniczenie przetwarzania niezaufanych plików PLY.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in Open Asset Import Library Assimp up to 6.0.4. Affected is the function Assimp::Exporter::ExportToBlob of the file code/AssetLib/Ply/PlyLoader.cpp of the component PLY Model Handler. This manipulation causes double free. The attack can be initiated remotely. The exploit has been publicly disclosed and may be utilized. The project was informed of the problem early through an issue report.

