← voltar
CVE-2025-12474

libjxl: Uninitialized memory read in decoder due to incorrect optimization in patch handling

CVSS 2.3 LOWEPSS 0.1%CWE-908
Vexday Risk Score
8Baixo
Decisão SSVC (CISA)
Track
Sem sinal de exploração → monitorar
CVSS 2.3EPSS 0.1%KEV nãoPoC Nuclei Metasploit Patch
Ciclo de vida
11 fev 2026Publicada no NVD
Recomendação: Monitorar — sem sinal de exploração no momento.
A specially-crafted file can cause libjxl's decoder to read pixel data from uninitialized (but allocated) memory. This can be done by causing the decoder to reference an outside-image-bound area in a subsequent patches. An incorrect optimization causes the decoder to omit populating those areas.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Produtos afetados
Google · libjxl

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/libjxl/libjxl/pull/4495