Plateforme
c
Composant
littlecms
Corrigé dans
2.18.1
Une vulnérabilité de dépassement d'entier a été identifiée dans Little CMS (lcms2), affectant les versions de 0.0.0 à 2.18. Le dépassement se produit dans la fonction CubeSize du fichier cmslut.c, car la vérification du dépassement est effectuée après la multiplication. La mise à jour vers la version 2.19 corrige ce problème.
La vulnérabilité CVE-2026-41254 affecte Little CMS (lcms2) versions jusqu'à la 2.18, présentant un débordement d'entier dans la fonction CubeSize, située dans le fichier cmslut.c. Ce problème se produit parce que la vérification du débordement est effectuée après la multiplication, permettant à une valeur incorrecte d'être utilisée dans les opérations ultérieures. Un attaquant peut exploiter cela pour provoquer un déni de service (DoS), en forçant le programme à consommer une quantité excessive de mémoire ou à se comporter de manière imprévisible. La vulnérabilité est particulièrement préoccupante dans les applications qui dépendent de lcms2 pour la gestion des couleurs, telles que les logiciels de retouche d'images, l'impression et la conversion de formats de fichiers. L'absence d'un KEV (Knowledge Enhancement Vector) indique que les informations concernant l'exploitation réelle de cette vulnérabilité sont limitées, mais le risque potentiel reste significatif.
L'exploitation de CVE-2026-41254 nécessiterait probablement la manipulation des données d'entrée utilisées dans la fonction CubeSize. Un attaquant pourrait créer un fichier de profil de couleur spécialement conçu pour déclencher le débordement d'entier. La complexité de l'exploitation dépendra de la manière dont lcms2 est utilisé dans l'application vulnérable. Étant donné l'absence d'un KEV, les informations concernant les méthodes d'exploitation spécifiques sont limitées. Cependant, la nature du débordement d'entier suggère que l'exploitation pourrait impliquer l'envoi de données d'entrée soigneusement élaborées pour produire un résultat inattendu dans la fonction CubeSize.
Applications and systems that rely on Little CMS for color management are at risk, particularly those processing color profiles from external or untrusted sources. This includes image editing software, document conversion tools, printing systems, and any application performing color space transformations.
• c - Monitor applications using Little CMS for unexpected crashes or memory errors. • c - Examine color profile input for unusually large or malformed data. • c - Review system logs for errors related to color processing or memory allocation.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2026-41254 est de mettre à jour vers la version 2.18.1 de Little CMS (lcms2) ou supérieure. Cette version corrige le débordement d'entier en effectuant la vérification avant la multiplication, empêchant ainsi le calcul de valeurs incorrectes. Les administrateurs système et les développeurs utilisant lcms2 sont fortement encouragés à évaluer la possibilité de mettre à jour leurs systèmes dès que possible. Si une mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures d'atténuation, telles que la limitation de la taille des données d'entrée utilisées dans la fonction CubeSize, bien que cela puisse avoir un impact sur les performances. Surveiller les journaux système à la recherche de comportements anormaux peut également aider à détecter les tentatives d'exploitation.
Actualice a la versión 2.18.1 o posterior para mitigar el riesgo de desbordamiento de enteros. Esta actualización corrige la vulnerabilidad al realizar la verificación de desbordamiento después de la multiplicación, previniendo así la explotación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Little CMS est une bibliothèque de gestion des couleurs open source utilisée dans diverses applications logicielles.
C'est un identifiant unique pour une vulnérabilité de sécurité spécifique dans Little CMS.
Si vous utilisez une version de Little CMS antérieure à la 2.18.1, vous êtes probablement affecté.
Envisagez de limiter la taille des données d'entrée et de surveiller les journaux système.
Actuellement, il n'y a pas d'outils spécifiques disponibles, mais les mises à jour de sécurité sont la meilleure défense.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.