PT-2026-7243 · Libpng+4 · Libpng+4
Pwnalone
·
Publicado
2026-01-01
·
Atualizado
2026-04-12
·
CVE-2026-25646
CVSS v4.0
8.3
Alta
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do libpng anteriores à 1.6.55
Descrição
O LIBPNG é uma biblioteca utilizada por aplicativos para ler, criar e manipular arquivos de imagem raster PNG. Existe uma falha na função
png set quantize() que pode levar a uma condição de negação de serviço ou potencialmente à execução arbitrária de código. Este problema é acionado quando a função é chamada sem um histograma e com uma paleta que excede o dobro do número máximo de cores suportadas pelo display do usuário. A vulnerabilidade decorre de uma leitura fora dos limites dentro da função, causada por arquivos PNG especialmente criados, porém válidos. O problema está presente na biblioteca há aproximadamente 30 anos. A função png set quantize() é suscetível a um estouro de buffer na heap.Recomendações
Versões anteriores à 1.6.55 devem ser atualizadas para a versão 1.6.55 ou posterior.
Exploit
Correção
DoS
RCE
Buffer Over-read
Heap Based Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Red Os
Rocky Linux
Ubuntu
Libpng