CVE-2026-52719
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
W bibliotece GStreamer (gst-plugins-bad) w dekoderze VA JPEG wykryto podatność polegającą na odczycie poza dozwolonym zakresem pamięci. Analizator JPEG odczytuje długość segmentu ze strumienia bitów bez walidacji względem dostępnych danych.
Ocena ryzyka
Zdalny atakujący może nakłonić użytkownika do otwarcia specjalnie spreparowanego pliku JPEG, co może spowodować odczyt poza buforem wejściowym, prowadząc do awarii aplikacji lub potencjalnego ujawnienia informacji.
Rekomendacja
Należy niezwłocznie zaktualizować pakiet gst-plugins-bad do wersji zawierającej poprawkę dla CVE-2026-52719. Do czasu aktualizacji unikać otwierania niezaufanych plików JPEG w aplikacjach korzystających z GStreamer.
Oryginalny opis (angielski, źródło NVD)
An out-of-bounds read vulnerability was found in the VA JPEG decoder in GStreamer's gst-plugins-bad. The JPEG parser reads a segment length value from the bitstream without validating it against available data. A remote attacker could trick a user into opening a specially crafted JPEG file, causing downstream parsing to read beyond the provided input buffer, leading to a crash or potential information disclosure.

