PT-2026-41023 · Unknown+1 · Openimageio+1
Medoedus
·
Publicado
2026-05-14
·
Atualizado
2026-06-17
·
CVE-2026-43904
CVSS v4.0
8.4
Alta
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
OpenImageIO versões anteriores a 3.0.18.0
OpenImageIO versões anteriores a 3.1.13.0
Descrição
Existe um problema no conjunto de ferramentas utilizado para ler, escrever e manipular arquivos de imagem para VFX e animação. Especificamente, o arquivo
softimageinput.cpp não limita o comprimento da execução (run length) à largura restante da linha de varredura antes de escrever os pixels, tanto em caminhos RLE (Run-Length Encoding, uma forma de compressão de dados sem perdas) mistos quanto puros. Enquanto o caminho do pacote bruto utiliza std::min para a limitação, os caminhos RLE ignoram essa verificação. Um arquivo .pic especialmente criado pode causar um estouro de heap (heap overflow) de até 65535 bytes.Recomendações
Atualize para a versão 3.0.18.0.
Atualize para a versão 3.1.13.0.
Exploit
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openimageio
Ubuntu