Katalog CVE

CVE-2026-52720

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.53%

Percentyl 41 - wyżej niż 41% wszystkich znanych CVE

Streszczenie

W bibliotece librfb (klient RFB/VNC) w GStreamer wykryto podatność przepełnienia bufora sterty. Błędna walidacja wymiarów prostokąta pozwala złośliwemu serwerowi VNC na wysłanie prostokąta wykraczającego poza ramkę bufora, co prowadzi do zapisu poza dozwolonym obszarem sterty.

Ocena ryzyka

Zdalny atakujący może skonfigurować złośliwy serwer VNC i nakłonić użytkownika do połączenia, co może skutkować wykonaniem dowolnego kodu lub awarią aplikacji, a w konsekwencji przejęciem kontroli nad systemem.

Rekomendacja

Należy niezwłocznie zaktualizować GStreamer do wersji, w której załatano tę podatność. Do czasu aktualizacji unikaj łączenia się z niezaufanymi serwerami VNC.

Oryginalny opis (angielski, źródło NVD)

A heap buffer overflow vulnerability was found in GStreamer's librfb (RFB/VNC client). The rectangle bounds check incorrectly validates area rather than individual dimensions, allowing a malicious VNC server to send a rectangle that extends beyond the framebuffer. A remote attacker could set up a malicious VNC server and trick a user into connecting, resulting in an out-of-bounds heap write that could lead to code execution or a crash.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS