CVE-2021-42716

stb image.h versão 2.27

Foi detectada uma falha no carregador PNM do stb image.h, na qual arquivos PGM de 16 bits são interpretados incorretamente como de 8 bits durante a conversão para RGBA. Isso leva a um estouro de buffer quando o resultado é posteriormente reinterpretado como um buffer de 16 bits. Um invasor poderia potencialmente causar a falha de um serviço que utilize o stb image ou ler até 1024 bytes de dados não consecutivos da pilha sem controle sobre o local de leitura. A vulnerabilidade está relacionada à cópia de um buffer sem verificação dos dados de entrada, o que poderia permitir que um invasor remoto acessasse dados confidenciais e causasse uma negação de serviço.

Para a versão 2.27 do stb image.h, considere desativar a funcionalidade do carregador PNM até que um patch esteja disponível para evitar possíveis travamentos ou acesso não autorizado aos dados. Restrinja o uso da biblioteca stb image.h para minimizar o risco de exploração. Evite usar o carregador PNM para converter arquivos PGM de 16 bits para o formato RGBA até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.