CVE-2026-49495
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Ghidra w wersji 10.2 przed 12.1 zawiera podatność na niekontrolowane zużycie zasobów w funkcji ExportTrie.parseTrie(). Brak detekcji cykli podczas przetwarzania binarnych plików Mach-O prowadzi do nieograniczonego wzrostu kolejki i wykładniczej konkatenacji łańcuchów.
Ocena ryzyka
Podatność ta może prowadzić do błędu OutOfMemoryError, co skutkuje awarią całej JVM i utratą niezapisanej pracy użytkownika. Organizacje mogą stracić cenne dane i czas w przypadku wystąpienia tego błędu.
Rekomendacja
Zaleca się aktualizację Ghidra do wersji 12.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać przetwarzanie potencjalnie złośliwych plików Mach-O.
Oryginalny opis (angielski, źródło NVD)
Ghidra 10.2 before 12.1 contains an uncontrolled resource consumption vulnerability in ExportTrie.parseTrie() that lacks cycle detection when traversing Mach-O binary export tries. A crafted Mach-O binary with circular references in the export trie causes unbounded queue growth and exponential string concatenation, triggering OutOfMemoryError that crashes the entire JVM and loses all unsaved work.

