CVE-2026-37555

Nome do Software Vulnerável e Versões Afetadas libsndfile versão 1.2.2

Descrição Existe um estouro de número inteiro (integer overflow) no codec IMA ADPCM, especificamente nos caminhos de código WAV e de fechamento. Quando o produto de samplesperblock e blocks excede o valor máximo de um inteiro assinado de 32 bits (INT MAX), ocorre um estouro de multiplicação antes que o resultado seja atribuído a sf.frames. Como tanto samplesperblock quanto blocks são valores controlados por um invasor e originados do cabeçalho do arquivo WAV, isso pode levar a uma contagem de quadros incorreta, resultando em um estouro de buffer de heap (heap buffer overflow) ou negação de serviço.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.