CVE-2026-24403

iccDEV Undefined Behavior in CIccProfile::CheckHeader() Leads to Integer Overflow

CVSS 7.1 HIGHEPSS 0.4%CWE-190 CWE-20

Em resumo

Uma falha no analisador de perfis de cores do iccDEV permite que arquivos ICC especialmente preparados causem estouro de inteiro, corrompendo memória ou travando aplicativos que os processam.

Detalhe técnico

Uma vulnerabilidade de estouro de inteiro existe em CIccProfile::CheckHeader() ao processar dados de perfil controlados pelo usuário; atacantes podem manipular tabelas de tags, offsets ou campos de tamanho para provocar corrupção de memória, negação de serviço ou potencialmente execução arbitrária de código nas versões ≤2.3.1.1.

Resumo gerado e traduzido por IA a partir da descrição oficial.

iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. In versions 2.3.1.1 and below, an integer overflow vulnerability exists in icValidateStatus CIccProfile::CheckHeader() when user-controllable input is incorporated into profile data unsafely. Tampering with tag tables, offsets, or size fields can trigger parsing errors, memory corruption, or DoS, potentially enabling arbitrary Code Execution or bypassing application logic. This issue has been fixed in version 2.3.1.2.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Produtos afetados

InternationalColorConsortium · iccDEV

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/InternationalColorConsortium/iccDEV/commits/d993997005449a0a6958e65b057bd25e17dff89 https://github.com/InternationalColorConsortium/iccDEV/issues/505 https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-ph33-qp8j-5q34