PT-2026-53256 · Gnu · Gzip
Marcin Wyczechowski
+1
·
Publicado
2026-06-29
·
Atualizado
2026-06-29
·
CVE-2026-41992
CVSS v4.0
6.9
Média
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
GNU gzip (versões afetadas não especificadas)
Description
Existe um problema na lógica de descompressão LZH onde o estado global compartilhado é reutilizado incorretamente entre diferentes formatos de descompressão durante uma única execução. O software mantém um array global compartilhado entre as rotinas LZ77, LZW e LZH que não é reinicializado entre os arquivos processados. Um invasor pode envenenar esse estado compartilhado ao descomprimir um arquivo LZW especialmente criado seguido por um arquivo LZH especialmente criado em um único comando, desencadeando uma leitura fora dos limites no decodificador LZH, pois este segue valores obsoletos deixados no array compartilhado.
Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Buffer Over-read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gzip