CVE-2026-21675
iccDEV has a Use After Free vulnerability in CIccCmm class via improper hint manager object deletion
Em resumo
O software iccDEV de gerenciamento de cores tem uma falha crítica onde um objeto deletado continua sendo acessado na memória, permitindo que atacantes causem travamento ou executem código malicioso. Afeta como o software processa perfis de cor usados em imagens.
Detalhe técnico
Existe uma vulnerabilidade Use After Free na função CIccXform::Create() do iccDEV, onde o objeto gerenciador de hints é deletado incorretamente mas ainda é acessado posteriormente. Um atacante pode ativar isso fornecendo um arquivo de perfil ICC malformado, resultando em corrupção de memória, negação de serviço ou execução arbitrária de código.
Resumo gerado e traduzido por IA a partir da descrição oficial.
iccDEV provides a set of libraries and tools for working with ICC color management profiles. Versions 2.3.1 and below contain a Use After Free vulnerability in the CIccXform::Create() function, where it deletes the hint. This issue is fixed in version 2.3.1.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
InternationalColorConsortium · iccDEVQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →