CVE-2026-53432
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W narzędziu fzf wykryto podatność na przepełnienie liczb całkowitych w funkcji FuzzyMatchV2. Gdy długość linii wejściowej wynosi około 2 200 000 bajtów, a długość wzorca 999 bajtów, dochodzi do przepełnienia, co powoduje nieprawidłowe granice wycinka. Środowisko uruchomieniowe Go wykrywa błąd i natychmiast kończy proces z nieodwracalną paniką.
Ocena ryzyka
Atakujący może celowo dostarczyć złośliwe dane wejściowe, powodując awarię aplikacji korzystającej z fzf, co prowadzi do odmowy usługi (DoS). Podatność może być wykorzystana zdalnie, jeśli aplikacja przetwarza dane od użytkownika.
Rekomendacja
Należy niezwłocznie zaktualizować fzf do wersji 0.73.1 lub nowszej, która zawiera poprawkę. Jeśli aktualizacja nie jest możliwa, należy ograniczyć długość przetwarzanych linii wejściowych i wzorców.
Oryginalny opis (angielski, źródło NVD)
fzf is vulnerable to Integer Overflow leading to crash in FuzzyMatchV2 function. When input line length is approximately 2,200,000 bytes and pattern length is 999 bytes, the product overflows. The Go runtime detects the invalid slice bounds and terminates the process immediately with a non-recoverable panic. This issue was fixed in version 0.73.1.

