PT-2026-30662 · Openexr+3 · Openexr+3

Quangio

·

Publicado

2026-04-06

·

Atualizado

2026-06-01

·

CVE-2026-34588

CVSS v4.0

8.6

Alta

VetorAV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Name of the Vulnerable Software and Affected Versions OpenEXR versões 3.1.0 até 3.2.6, versões anteriores a 3.3.9 e versões anteriores a 3.4.9
Description OpenEXR, um formato de armazenamento de imagem usado na indústria cinematográfica, contém uma falha na função internal exr undo piz(). Especificamente, a função usa aritmética de 32 bits com sinal para avançar um ponteiro wavelet, o que pode levar a estouro de inteiro e wrap-around ao processar um arquivo EXR criado. Isso resulta em leituras e gravações fora dos limites durante a decodificação wavelet, pois a função opera no local.
Recommendations Atualize o OpenEXR para a versão 3.2.7 ou posterior. Atualize o OpenEXR para a versão 3.3.9 ou posterior. Atualize o OpenEXR para a versão 3.4.9 ou posterior.

Correção

Memory Corruption

Out of bounds Read

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-125CWE-190

Identificadores relacionados

ALSA-2026:15887
ALSA-2026:15888
ALSA-2026:19359
CVE-2026-34588
ECHO-1364-3D73-650F
GHSA-588R-CR5C-W6HF
OESA-2026-1840
OESA-2026-1841
OESA-2026-1842
OESA-2026-1843
OPENSUSE-SU-2026:10505-1
OPENSUSE-SU-2026:20605-1
RHSA-2026:15887
RHSA-2026:15888
RHSA-2026:17656
RHSA-2026:17658
RHSA-2026:17659
RHSA-2026:17660
RHSA-2026:19146
RHSA-2026:19359
RHSA-2026:19587
USN-8259-1

Produtos afetados

Linuxmint
Openexr
Rocky Linux
Ubuntu