CVE-2026-24409
iccDEV has Undefined Behavior and Null Pointer Deference in CIccTagXmlFloatNum<>::ParseXml()
Em resumo
Uma falha no analisador de perfis de cor do iccDEV permite que atacantes derrubem a aplicação ou potencialmente executem código ao enviar dados de perfil de cor malformados. O parser não valida adequadamente a entrada ao processar certos elementos XML em perfis ICC.
Detalhe técnico
CIccTagXmlFloatNum<>::ParseXml() falha em validar entrada controlada pelo usuário, causando desreferência de ponteiro nulo e comportamento indefinido ao processar dados XML malformados em perfis ICC. Um atacante pode fornecer perfis especialmente construídos para provocar negação de serviço, corrupção de dados, bypass de lógica ou execução de código; correção disponível na versão 2.3.1.2.
Resumo gerado e traduzido por IA a partir da descrição oficial.
iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. Versions 2.3.1.1 and below have Undefined Behavior and Null Pointer Deference in CIccTagXmlFloatNum<>::ParseXml(). This occurs when user-controllable input is unsafely incorporated into ICC profile data or other structured binary blobs. Successful exploitation may allow an attacker to perform DoS, manipulate data, bypass application logic and Code Execution. This issue has been fixed in version 2.3.1.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Produtos afetados
InternationalColorConsortium · iccDEVQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →