PT-2026-2246 · Harfbuzz+1 · Harfbuzz+1

Jungwoojjing

·

Publicado

2026-01-01

·

Atualizado

2026-03-20

·

CVE-2026-22693

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas Versões do HarfBuzz anteriores a 12.3.0
Descrição O HarfBuzz é um mecanismo de formatação de texto. Existe um problema de desreferência de ponteiro nulo na função SubtableUnicodesCache::create, localizada em src/hb-ot-cmap-table.hh. A função não verifica se hb malloc retorna NULL antes de tentar construir um objeto no endereço do ponteiro retornado. Se hb malloc falhar ao alocar memória, ele retorna NULL, e o código então tenta chamar o construtor neste ponteiro nulo, levando a um comportamento indefinido e a uma Falha de Segmentação. Este problema foi detectado através de falhas de alocação de memória simuladas em um ambiente de fuzzing.
Recomendações Atualize o HarfBuzz para a versão 12.3.0 ou posterior.

Exploit

Correção

DoS

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

AZL-73970
BDU:2026-06703
CVE-2026-22693
ECHO-7ECB-7A01-33A3
GHSA-XVJR-F2R9-C7WW
MGASA-2026-0015
OESA-2026-1203
OESA-2026-1204
OPENSUSE-SU-2026:10065-1
OPENSUSE-SU-2026:20409-1
RHSA-2026:7701
SUSE-SU-2026:0287-1
SUSE-SU-2026:20762-1
SUSE-SU-2026:20922-1

Produtos afetados

Debian
Harfbuzz