CVE-2026-33023

Name of the Vulnerable Software and Affected Versions libsixel versões anteriores a 1.8.7-r1

Description Um problema de use-after-free existe na função load with gdkpixbuf() em loader.c quando o software é compilado com a opção --with-gdk-pixbuf2. O problema ocorre porque o caminho de limpeza libera manualmente o objeto sixel frame t e seus buffers internos sem consultar a contagem de referências, embora o objeto tenha sido criado através do construtor com contagem de referências sixel frame new(). Consequentemente, qualquer callback que utilize sixel frame ref(frame) para manter uma referência ficará com um ponteiro pendente após o retorno de sixel helper load image file(). Um invasor pode disparar isso fornecendo uma imagem manipulada para um aplicativo compilado com suporte ao gdk-pixbuf2, o que pode levar à corrupção de memória, divulgação de informações ou execução de código.

Recommendations Atualizar para a versão 1.8.7-r1.