CVE-2026-24404
iccDEV has Null Pointer Deference and Undefined Behavior in CIccXmlArrayType()
Em resumo
Uma falha no tratamento de perfis de cores do iccDEV permite que atacantes façam a aplicação falhar ou executem código injetando dados malformados que causam acesso a endereços de memória inválidos.
Detalhe técnico
A função CIccXmlArrayType() não valida adequadamente entrada controlada pelo usuário antes de desreferenciar ponteiros em dados de perfil ICC, causando null pointer dereference e comportamento indefinido. O vetor de ataque é remoto/local através de perfis ICC malformados; a exploração pode resultar em DoS, corrupção de dados, contorno de lógica ou execução de código arbitrário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. In versions 2.3.1.1 and below, CIccXmlArrayType() contains a Null Pointer Dereference and Undefined Behavior vulnerability. This occurs when user-controllable input is unsafely incorporated into ICC profile data or other structured binary blobs. Successful exploitation may allow an attacker to perform DoS, manipulate data, bypass application logic and Code Execution. This issue has been fixed in version 2.3.1.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Produtos afetados
InternationalColorConsortium · iccDEVQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →