CVE-2026-52720
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 - wyżej niż 41% wszystkich znanych CVE
Streszczenie
W bibliotece librfb (klient RFB/VNC) w GStreamer wykryto podatność przepełnienia bufora sterty. Błędna walidacja wymiarów prostokąta pozwala złośliwemu serwerowi VNC na wysłanie prostokąta wykraczającego poza ramkę bufora, co prowadzi do zapisu poza dozwolonym obszarem sterty.
Ocena ryzyka
Zdalny atakujący może skonfigurować złośliwy serwer VNC i nakłonić użytkownika do połączenia, co może skutkować wykonaniem dowolnego kodu lub awarią aplikacji, a w konsekwencji przejęciem kontroli nad systemem.
Rekomendacja
Należy niezwłocznie zaktualizować GStreamer do wersji, w której załatano tę podatność. Do czasu aktualizacji unikaj łączenia się z niezaufanymi serwerami VNC.
Oryginalny opis (angielski, źródło NVD)
A heap buffer overflow vulnerability was found in GStreamer's librfb (RFB/VNC client). The rectangle bounds check incorrectly validates area rather than individual dimensions, allowing a malicious VNC server to send a rectangle that extends beyond the framebuffer. A remote attacker could set up a malicious VNC server and trick a user into connecting, resulting in an out-of-bounds heap write that could lead to code execution or a crash.

