CVE-2026-22861
iccDEV has a heap-buffer-overflow in SIccCalcOp::Describe() at IccProfLib/IccMpeCalc.cpp
Em resumo
iccDEV tem uma vulnerabilidade de estouro de buffer na memória heap ao processar perfis de cor ICC, podendo causar travamento da aplicação ou permitir execução de código malicioso com perfis especialmente criados.
Detalhe técnico
Um estouro de buffer baseado em heap existe na função SIccCalcOp::Describe() (IccProfLib/IccMpeCalc.cpp) devido a verificação inadequada de limites ao processar dados de perfil ICC. O vetor de ataque requer fornecimento de um perfil ICC malformado a uma aplicação usando a biblioteca iccDEV vulnerável; a exploração bem-sucedida pode resultar em corrupção de memória, negação de serviço ou execução arbitrária de código.
Resumo gerado e traduzido por IA a partir da descrição oficial.
iccDEV provides a set of libraries and tools that allow for the interaction, manipulation, and application of International Color Consortium (ICC) color management profiles. Prior to 2.3.1.2, There is a heap-based buffer overflow in SIccCalcOp::Describe() at IccProfLib/IccMpeCalc.cpp. This vulnerability affects users of the iccDEV library who process ICC color profiles. The vulnerability is fixed in 2.3.1.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
InternationalColorConsortium · iccDEVQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/InternationalColorConsortium/iccDEV/commit/fa9a364c01fc2e59eb2291e1f9b1c1359b7d5329https://github.com/InternationalColorConsortium/iccDEV/pull/475https://github.com/InternationalColorConsortium/iccDEV/pull/476https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-vr49-3vf8-7j5h