Katalog CVE

CVE-2026-34589

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

W bibliotece OpenEXR w wersjach od 3.2.0 do 3.2.7, 3.3.9 i 3.4.9 wykryto podatność w dekompresji DWA. Przy odpowiednio dużej szerokości obrazu, arytmetyka 32-bitowa powoduje przepełnienie, co prowadzi do zapisu poza przydzielonym buforem.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu lub spowodowania awarii aplikacji przetwarzającej obrazy EXR, co stanowi zagrożenie dla systemów wykorzystujących tę bibliotekę.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę OpenEXR do wersji 3.2.7, 3.3.9 lub 3.4.9, w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

OpenEXR provides the specification and reference implementation of the EXR file format, an image storage format for the motion picture industry. From 3.2.0 to before 3.2.7, 3.3.9, and 3.4.9, the DWA lossy decoder constructs temporary per-component block pointers using signed 32-bit arithmetic. For a large enough width, the calculation overflows and later decoder stores operate on a wrapped pointer outside the allocated rowBlock backing store. This vulnerability is fixed in 3.2.7, 3.3.9, and 3.4.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS