प्लेटफ़ॉर्म
c
घटक
sail
में ठीक किया गया
36.0.1
SAIL एक क्रॉस-प्लेटफ़ॉर्म लाइब्रेरी है जो एनिमेशन, मेटाडेटा और ICC प्रोफाइल के साथ छवियों को लोड और सेव करने के लिए उपयोग की जाती है। इस लाइब्रेरी में एक Buffer Overflow भेद्यता पाई गई है, जिसके कारण मेमोरी करप्शन और संभावित रूप से रिमोट कोड एग्जीक्यूशन (RCE) हो सकता है। यह भेद्यता SAIL के संस्करणों में मौजूद है जो 36aa5c7ec8a2bb35f6fb867a1177a6f141156b02 से कम या बराबर हैं। इस समस्या को 36aa5c7ec8a2bb35f6fb867a1177a6f141156b02 में ठीक कर दिया गया है।
CVE-2026-40492 भेद्यता SAIL लाइब्रेरी में प्रभावित करती है, जो छवियों को लोड करने के लिए XWD कोडेक का उपयोग करने वाले अनुप्रयोगों को प्रभावित करती है। यह भेद्यता तब उत्पन्न होती है जब pixmapdepth को 8 पर सेट किया जाता है (जो 1 बाइट/पिक्सेल बफर का संकेत देता है) जबकि bitsperpixel को 32 पर सेट किया जाता है। यह बेमेल बाइट-स्वैपिंग कोड को बफर को uint32t सरणी के रूप में मानने का कारण बनता है, जिसके परिणामस्वरूप आवंटित बफर आकार के 4 गुना पढ़ने और लिखने के साथ सीमा से बाहर मेमोरी एक्सेस होता है। इससे सेवा से इनकार (DoS) स्थिति हो सकती है या, अधिक जटिल परिदृश्यों में, यदि कोई हमलावर दुर्भावनापूर्ण XWD छवि की सामग्री को नियंत्रित कर सकता है, तो मनमाना कोड निष्पादन हो सकता है। CVSS स्कोर 9.8 एक गंभीर जोखिम का संकेत देता है, जो सुधार को लागू करने के महत्व पर प्रकाश डालता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को कमजोर SAIL लाइब्रेरी का उपयोग करने वाले एप्लिकेशन को दुर्भावनापूर्ण XWD छवि प्रदान करनी होगी। हमलावर को सीमा से बाहर बफर एक्सेस को ट्रिगर करने के लिए XWD फ़ाइल में pixmapdepth और bitsper_pixel मानों में हेरफेर करना होगा। शोषण की जटिलता SAIL का उपयोग करने वाले एप्लिकेशन और छवि प्रसंस्करण पर लगाए गए किसी भी प्रतिबंध पर निर्भर करती है। हालाँकि, उच्च CVSS स्कोर इंगित करता है कि शोषण अपेक्षाकृत सरल है और इसके संभावित गंभीर परिणाम हो सकते हैं। KEV (कर्नेल एक्सप्लोइटेबिलिटी एन्यूमरेशन) की अनुपस्थिति का सुझाव है कि अभी तक सार्वजनिक रूप से एक कार्यात्मक शोषण प्रलेखित नहीं किया गया है, लेकिन भेद्यता अभी भी एक महत्वपूर्ण जोखिम बनी हुई है।
Applications that utilize the SAIL image library to process user-supplied images, particularly those handling XWD files, are at significant risk. This includes image editing software, web applications displaying images, and any system relying on SAIL for image processing. Legacy systems using older, unpatched versions of SAIL are particularly vulnerable.
• linux / server: Monitor system logs for errors related to the XWD codec or SAIL library. Use lsof or ss to identify processes using the SAIL library and investigate their network connections.
lsof /path/to/sail/library.so• c: Static analysis of the SAIL source code, particularly the XWD codec, to identify potential buffer overflow vulnerabilities. Use tools like Coverity or SonarQube to automate this process. • generic web: Examine web server access logs for requests containing XWD files. Implement endpoint protection to block requests to endpoints that process XWD images from untrusted sources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40492 के लिए समाधान SAIL लाइब्रेरी को उस संस्करण में अपडेट करना है जिसमें commit 36aa5c7ec8a2bb35f6fb867a1177a6f141156b02 में लागू किया गया सुधार शामिल है। यह सुधार बफर आकार गणना में बेमेल को संबोधित करता है, यह सुनिश्चित करता है कि बाइट-स्वैपिंग कोड bitsperpixel का सही मान उपयोग करता है। यह अनुशंसा की जाती है कि इस अपडेट को जल्द से जल्द लागू किया जाए, खासकर अविश्वसनीय स्रोतों से छवियों को संसाधित करने वाले सिस्टम पर। अपडेट के बाद भी व्यापक परीक्षण करना भी सलाह दी जाती है ताकि SAIL का उपयोग करने वाले अनुप्रयोगों की संगतता और उचित कार्यक्षमता सुनिश्चित हो सके। प्रसंस्करण से पहले छवि प्रारूपों और स्रोतों को मान्य करने से जोखिम को और कम किया जा सकता है।
Actualice la biblioteca SAIL a la versión 36aa5c7ec8a2bb35f6fb867a1177a6f141156b02 o superior para corregir la vulnerabilidad de desbordamiento del búfer de la pila en el decodificador XWD. Esta corrección aborda la confusión de tipos entre `pixmap_depth` y `bits_per_pixel` durante el intercambio de bytes, evitando el acceso a memoria fuera de los límites.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SAIL एक ओपन-सोर्स लाइब्रेरी है जो एनिमेशन, मेटाडेटा और ICC प्रोफाइल के समर्थन के साथ छवियों को लोड और सहेजने के लिए है।
XWD एक सरल छवि फ़ाइल प्रारूप है जिसका उपयोग मुख्य रूप से Unix सिस्टम पर किया जाता है।
SAIL लाइब्रेरी के संस्करण की जांच करें जिसका आप उपयोग कर रहे हैं। यदि यह commit 36aa5c7ec8a2bb35f6fb867a1177a6f141156b02 के साथ सुधार को शामिल नहीं करने वाले संस्करण से पुराना है, तो यह कमजोर है।
एक अस्थायी उपाय के रूप में, अविश्वसनीय स्रोतों से XWD छवियों को संसाधित करने से बचें। प्रारूप सत्यापन लागू करें।
वर्तमान में कोई सार्वजनिक शोषण जारी नहीं किया गया है, लेकिन इस भेद्यता की उच्च गंभीरता से पता चलता है कि भविष्य में एक विकसित होने की संभावना है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।