CVE-2026-14759
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W radare2 do wersji 6.1.6 wykryto podatność w funkcji r_bin_java_inner_classes_attr_calc_size w pliku shlr/java/class.c, należącej do komponentu RBinJava Line Number Table Parser. Manipulacja danymi prowadzi do przepełnienia bufora sterty. Atak wymaga dostępu lokalnego, a exploit został opublikowany.
Ocena ryzyka
Organizacja narażona jest na lokalne przejęcie kontroli nad systemem lub awarię aplikacji poprzez wykorzystanie przepełnienia bufora sterty. Opublikowany exploit zwiększa ryzyko szybkiego wykorzystania podatności przez atakujących z dostępem lokalnym.
Rekomendacja
Należy niezwłocznie zastosować łatkę oznaczoną identyfikatorem cd62d15a6cbecdc67fd03f3ebdbbbeb741d18f87, która usuwa podatność. Zaleca się aktualizację radare2 do wersji nowszej niż 6.1.6.
Oryginalny opis (angielski, źródło NVD)
A security flaw has been discovered in radareorg radare2 up to 6.1.6. This issue affects the function r_bin_java_inner_classes_attr_calc_size of the file shlr/java/class.c of the component RBinJava Line Number Table Parser. Performing a manipulation results in heap-based buffer overflow. The attack requires a local approach. The exploit has been released to the public and may be used for attacks. The patch is named cd62d15a6cbecdc67fd03f3ebdbbbeb741d18f87. To fix this issue, it is recommended to deploy a patch.

