प्लेटफ़ॉर्म
c
घटक
sdl_image
में ठीक किया गया
996.0.1
CVE-2026-35444 SDLimage लाइब्रेरी में एक बफर ओवरफ्लो भेद्यता है, जो छवियों को लोड करने के लिए उपयोग की जाती है। इस भेद्यता के कारण, दुर्भावनापूर्ण रूप से तैयार की गई XCF फ़ाइलें मेमोरी से डेटा लीक कर सकती हैं, जिससे संभावित रूप से संवेदनशील जानकारी उजागर हो सकती है। यह भेद्यता SDLimage के संस्करणों में मौजूद है जो 2.0.6 से कम हैं, लेकिन 2.0.6 में एक पैच जारी किया गया है।
An attacker can exploit this vulnerability by crafting a malicious XCF image file. When SDLimage attempts to decode this file, the out-of-bounds read allows the attacker to potentially leak up to 762 bytes of heap memory. This leaked data, written into the output surface pixel data, could be observable in the rendered image, potentially revealing sensitive information. While direct code execution is unlikely, the information disclosure could be a stepping stone for further attacks, particularly in applications that rely on SDLimage to display user-provided images. The impact is amplified in scenarios where the application processes untrusted image data without proper sanitization.
This CVE has been publicly disclosed. As of the current date, there are no known public exploits or active campaigns targeting this vulnerability. It is not currently listed on the CISA KEV catalog. The CVSS score of 7.1 (HIGH) indicates a significant potential for exploitation if an attacker gains access to a vulnerable system and can provide a malicious XCF file.
Applications and systems that utilize SDLimage to load and display images, particularly those processing user-uploaded or externally sourced XCF files, are at risk. This includes game development environments, multimedia applications, and any software relying on SDLimage for image rendering.
• linux / server:
ps aux | grep sdl_image• c / generic: Examine SDLimage source code (src/IMGxcf.c) for the dolayersurface() function and the validation of colormap indices.
• generic web: Monitor web server access logs for requests containing XCF files, especially those originating from untrusted sources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
The primary mitigation is to upgrade to SDL_image version 2.0.6 or later, which contains the fix for this vulnerability. If upgrading is not immediately feasible, consider implementing input validation to restrict the types of image files processed by the application. Specifically, validate the XCF file format and its contents before attempting to decode it. WAFs or proxies can be configured to block requests containing potentially malicious XCF files, although this is a less robust solution. Monitor application logs for unusual memory access patterns or errors related to image decoding, which could indicate exploitation attempts. After upgrading, confirm the fix by attempting to load a known malicious XCF file and verifying that the out-of-bounds read no longer occurs.
Actualice a la versión 2.0.6 o posterior para mitigar el desbordamiento del búfer de la pila. Esta actualización corrige la validación de los índices de la paleta de colores, evitando así el acceso fuera de los límites de la memoria.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35444 SDL_image लाइब्रेरी में एक बफर ओवरफ्लो भेद्यता है। यह XCF फ़ाइलों को संसाधित करते समय मेमोरी से डेटा लीक करने की अनुमति देता है, जिससे संभावित रूप से संवेदनशील जानकारी उजागर हो सकती है।
यदि आप SDLimage के संस्करण का उपयोग कर रहे हैं जो 2.0.6 से कम है, तो आप इस भेद्यता से प्रभावित हो सकते हैं। अपने SDLimage लाइब्रेरी को तुरंत 2.0.6 या बाद के संस्करण में अपडेट करें।
इस भेद्यता को ठीक करने के लिए, SDLimage लाइब्रेरी को संस्करण 2.0.6 या बाद के संस्करण में अपडेट करें। आप अपने पैकेज मैनेजर या SDLimage वेबसाइट से नवीनतम संस्करण डाउनलोड कर सकते हैं।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।