CVE-2026-34379

Name of the Vulnerable Software and Affected Versions OpenEXR versões 3.2.0 através de 3.2.6, versão 3.3.9 e versão 3.4.9

Description Um problema de escrita de memória existe na função LossyDctDecoder execute() dentro de src/lib/OpenEXRCore/internal dwa decoder.h:749 ao decodificar arquivos EXR compactados DWA ou DWAB com canais do tipo FLOAT. O decodificador converte um ponteiro uint8 t * linha desalinhado para float * e grava através dele, levando a um comportamento indefinido em arquiteturas que impõem alinhamento (ARM, RISC-V, etc.). Embora tolerado silenciosamente no x86, permanece explorável por meio de otimizações do compilador.

Recommendations Atualize para a versão OpenEXR 3.2.7 ou posterior. Atualize para a versão OpenEXR 3.3.9 ou posterior. Atualize para a versão OpenEXR 3.4.9 ou posterior.