PT-2026-53256 · Gnu · Gzip

Marcin Wyczechowski

+1

·

Publicado

2026-06-29

·

Atualizado

2026-06-29

·

CVE-2026-41992

CVSS v4.0

6.9

Média

VetorAV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas GNU gzip (versões afetadas não especificadas)
Description Existe um problema na lógica de descompressão LZH onde o estado global compartilhado é reutilizado incorretamente entre diferentes formatos de descompressão durante uma única execução. O software mantém um array global compartilhado entre as rotinas LZ77, LZW e LZH que não é reinicializado entre os arquivos processados. Um invasor pode envenenar esse estado compartilhado ao descomprimir um arquivo LZW especialmente criado seguido por um arquivo LZH especialmente criado em um único comando, desencadeando uma leitura fora dos limites no decodificador LZH, pois este segue valores obsoletos deixados no array compartilhado.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Buffer Over-read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-41992

Produtos afetados

Gzip