CVE-2026-32836
ŚrednieCVSS 6.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
Biblioteka dr_libs dr_flac.h w wersji 0.13.3 i wcześniejszych zawiera niekontrolowaną alokację pamięci w funkcji drflac__read_and_decode_metadata(). Atakujący może dostarczyć spreparowane bloki metadanych PICTURE z kontrolowanymi polami mimeLength i descriptionLength, co prowadzi do nadmiernego przydziału pamięci.
Ocena ryzyka
Ryzyko polega na możliwości wyczerpania pamięci (denial of service) podczas przetwarzania strumieni FLAC z wywołaniami zwrotnymi metadanych, co może zakłócić działanie aplikacji korzystających z tej biblioteki.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki dr_flac.h do wersji zawierającej poprawki (commity fefced4, 4f5a4cd, 663239a) lub zastosowanie łatki ograniczającej maksymalny rozmiar alokacji pamięci dla pól mimeLength i descriptionLength.
Oryginalny opis (angielski, źródło NVD)
dr_libs dr_flac.h version 0.13.3 and earlier (fixed in commits fefced4, 4f5a4cd, and 663239a) contain an uncontrolled memory allocation vulnerability in drflac__read_and_decode_metadata() that allows attackers to trigger excessive memory allocation by supplying crafted PICTURE metadata blocks. Attackers can exploit attacker-controlled mimeLength and descriptionLength fields to cause denial of service through memory exhaustion when processing FLAC streams with metadata callbacks.

