CVE-2026-22184

Nome do Software Vulnerável e Versões Afetadas Versões do zlib até e incluindo 1.3.1.2

Descrição As versões do zlib até e incluindo 1.3.1.2 contêm um estouro de buffer global no utilitário untgz. A função TGZfname() utiliza uma chamada strcpy() não limitada para copiar um nome de arquivo fornecido pelo atacante de argv[] para um buffer global estático de tamanho fixo de 1024 bytes, sem validar o comprimento. Fornecer um nome de arquivo com mais de 1024 bytes resulta em uma escrita fora dos limites, potencialmente levando à corrupção de memória, negação de serviço e execução de código, dependendo do compilador, flags de compilação, arquitetura e layout de memória. Esse estouro ocorre antes de qualquer análise ou validação do arquivo.

Recomendações Atualize para a versão 1.3.1.3 do zlib ou superior. Monitore execuções do untgz que envolvam nomes de arquivos incomumente longos nos logs.