CVE-2026-52722
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W dekoderze VMnc biblioteki GStreamer wykryto podatność na przepełnienie liczby całkowitej ze znakiem. Specjalnie spreparowany strumień VMnc z dużymi wymiarami kursora może spowodować przepełnienie arytmetyki rozmiaru ładunku, omijając kontrolę długości i prowadząc do odczytu poza zakresem.
Ocena ryzyka
Zdalny atakujący może nakłonić użytkownika do otwarcia złośliwego pliku VMnc, co może skutkować awarią aplikacji lub wyciekiem poufnych informacji.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę GStreamer do wersji zawierającej poprawkę dla CVE-2026-52722. Do czasu aktualizacji unikać otwierania plików VMnc z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
A signed integer overflow vulnerability was found in GStreamer's VMnc decoder. A crafted VMnc stream with large cursor dimensions can overflow signed integer payload-size arithmetic, bypassing a length check and leading to out-of-bounds reads. A remote attacker could trick a user into opening a specially crafted VMnc file, potentially causing a crash or information disclosure.

