CVE-2026-24411
iccDEV has Undefined Behavior and Null Pointer Deference in CIccTagXmlSegmentedCurve::ToXml()
Em resumo
O iccDEV, uma biblioteca para gerenciar perfis de cor, possui uma falha na forma como processa certos dados de perfil. Um atacante pode enviar um perfil de cor malformado para derrubar a aplicação ou potencialmente executar código.
Detalhe técnico
CIccTagXmlSegmentedCurve::ToXml() apresenta comportamento indefinido e desreferência de ponteiro nulo ao processar entrada de perfil ICC controlada pelo usuário. A exploração bem-sucedida requer um perfil ICC malicioso e depende da aplicação-alvo analisá-lo; os impactos incluem DoS, manipulação de dados, desvio de lógica e execução de código.
Resumo gerado e traduzido por IA a partir da descrição oficial.
iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. Versions 2.3.1.1 and below have Undefined Behavior in CIccTagXmlSegmentedCurve::ToXml(). This occurs when user-controllable input is unsafely incorporated into ICC profile data or other structured binary blobs. Successful exploitation may allow an attacker to perform DoS, manipulate data, bypass application logic and Code Execution. This issue has been fixed in version 2.3.1.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Produtos afetados
InternationalColorConsortium · iccDEVQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →