Katalog CVE

CVE-2026-32836

ŚrednieCVSS 6.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Biblioteka dr_libs dr_flac.h w wersji 0.13.3 i wcześniejszych zawiera niekontrolowaną alokację pamięci w funkcji drflac__read_and_decode_metadata(). Atakujący może dostarczyć spreparowane bloki metadanych PICTURE z kontrolowanymi polami mimeLength i descriptionLength, co prowadzi do nadmiernego przydziału pamięci.

Ocena ryzyka

Ryzyko polega na możliwości wyczerpania pamięci (denial of service) podczas przetwarzania strumieni FLAC z wywołaniami zwrotnymi metadanych, co może zakłócić działanie aplikacji korzystających z tej biblioteki.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki dr_flac.h do wersji zawierającej poprawki (commity fefced4, 4f5a4cd, 663239a) lub zastosowanie łatki ograniczającej maksymalny rozmiar alokacji pamięci dla pól mimeLength i descriptionLength.

Oryginalny opis (angielski, źródło NVD)

dr_libs dr_flac.h version 0.13.3 and earlier (fixed in commits fefced4, 4f5a4cd, and 663239a) contain an uncontrolled memory allocation vulnerability in drflac__read_and_decode_metadata() that allows attackers to trigger excessive memory allocation by supplying crafted PICTURE metadata blocks. Attackers can exploit attacker-controlled mimeLength and descriptionLength fields to cause denial of service through memory exhaustion when processing FLAC streams with metadata callbacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS