प्लेटफ़ॉर्म
c
घटक
sail
में ठीक किया गया
930284445.0.1
SAIL एक क्रॉस-प्लेटफ़ॉर्म लाइब्रेरी है जो एनिमेशन, मेटाडेटा और ICC प्रोफाइल के समर्थन के साथ छवियों को लोड और सेव करने के लिए उपयोग की जाती है। इस लाइब्रेरी में एक बफर ओवरफ्लो भेद्यता मौजूद है, जिसके कारण हर पंक्ति पर हीप मेमोरी में अनधिकृत लेखन हो सकता है, जिससे संभावित रूप से सिस्टम अस्थिर हो सकता है या हमलावर को मनमाना कोड निष्पादित करने की अनुमति मिल सकती है। यह भेद्यता SAIL के संस्करण 0.1.0 से लेकर c930284445ea3ff94451ccd7a57c999eca3bc979 तक के संस्करणों को प्रभावित करती है। संस्करण 0.3.1 में इस समस्या का समाधान किया गया है।
CVE-2026-40493 SAIL लाइब्रेरी को प्रभावित करता है, जिसका उपयोग विभिन्न प्लेटफार्मों पर छवियों को लोड और सेव करने के लिए किया जाता है। यह भेद्यता PSD कोडेक के भीतर है, विशेष रूप से LAB मोड में प्रति पिक्सेल बाइट्स (bpp) की गणना में। संस्करण 0.3.1 में सुधार से पहले, bpp की गणना चैनलों और गहराई के गुणन पर आधारित थी, लेकिन पिक्सेल बफर आवंटन हल किए गए पिक्सेल प्रारूप के आधार पर किया गया था। इससे LAB मोड में, 3 चैनलों और 16 बिट्स की गहराई के साथ, गणना किया गया bpp गलत (6 बाइट्स) हो जाता है, जबकि BPP40CIELAB प्रारूप प्रति पिक्सेल केवल 5 बाइट्स आवंटित करता है। यह विसंगति बफर ओवरफ्लो का कारण बन सकती है, जिससे SAIL का उपयोग करने वाले एप्लिकेशन के संदर्भ के आधार पर रिमोट कोड निष्पादन या सेवा से इनकार हो सकता है। CVSS गंभीरता स्कोर 9.8 है, जो एक महत्वपूर्ण जोखिम दर्शाता है।
CVE-2026-40493 का शोषण करने के लिए, कमजोर SAIL लाइब्रेरी का उपयोग करके LAB मोड में दुर्भावनापूर्ण PSD छवि को संसाधित करने की आवश्यकता होती है। एक हमलावर एक विशेष रूप से डिज़ाइन की गई PSD छवि बना सकता है ताकि bpp गणना और बफर आवंटन में विसंगति का फायदा उठाया जा सके। शोषण की जटिलता उस एप्लिकेशन पर निर्भर करती है जो SAIL का उपयोग करता है और लागू किए गए सुरक्षा उपायों पर। PSD छवियों के निर्माण या संशोधन को नियंत्रित करने में सक्षम एक हमलावर इस भेद्यता का फायदा उठा सकता है। PSD छवियों को संसाधित करने वाले एप्लिकेशन में इनपुट सत्यापन की कमी शोषण के जोखिम को बहुत बढ़ा देती है। यदि कमजोर एप्लिकेशन में उन्नत विशेषाधिकार हैं, तो रिमोट कोड निष्पादन संभव है।
Applications and systems that utilize the SAIL library to process PSD images are at risk. This includes image editing software, media processing pipelines, and any application that relies on SAIL for image loading and saving. Specifically, systems using older versions of SAIL in automated image processing workflows are particularly vulnerable.
• linux / server:
ps aux | grep sail• generic web:
curl -I <URL_WITH_PSD_FILE>Inspect the response headers for any unusual content-type or content-length values associated with PSD files. Monitor system logs for any crashes or errors related to SAIL or image processing libraries.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40493 के लिए प्राथमिक शमन SAIL लाइब्रेरी को संस्करण 0.3.1 या उच्चतर में अपडेट करना है। यह संस्करण PSD कोडेक में bpp की गलत गणना को ठीक करता है, जिससे बफर ओवरफ्लो की संभावना समाप्त हो जाती है। यदि तत्काल अपडेट संभव नहीं है, तो LAB मोड में PSD छवियों को संसाधित करने के लिए SAIL का उपयोग करने वाले कोड की सावधानीपूर्वक समीक्षा करने की सिफारिश की जाती है, संभावित उपयोग पैटर्न की तलाश की जाती है जो भेद्यता को उजागर कर सकते हैं। इसके अतिरिक्त, PSD छवियों के लिए मजबूत इनपुट सत्यापन लागू करने की सिफारिश की जाती है, हालांकि यह एक पूर्ण समाधान नहीं है और केवल जोखिम को कम करता है। PSD छवि स्रोतों की निगरानी करना और अविश्वसनीय स्रोतों से फ़ाइलों को लोड करने को प्रतिबंधित करना भी जोखिम को कम करने में मदद कर सकता है।
Actualice la biblioteca SAIL a la versión 0.3.1 o posterior para mitigar el desbordamiento del búfer de la pila. La actualización corrige un error en el decodificador PSD que causaba un desbordamiento del búfer de la pila al procesar imágenes LAB de 16 bits debido a una discrepancia en el cálculo de bytes por píxel.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SAIL एक ओपन-सोर्स लाइब्रेरी है जिसका उपयोग एनिमेशन, मेटाडेटा और ICC प्रोफाइल के समर्थन के साथ छवियों को लोड और सेव करने के लिए किया जाता है।
यह अपडेट एक महत्वपूर्ण भेद्यता को संबोधित करता है जिससे रिमोट कोड निष्पादन या सेवा से इनकार हो सकता है।
अपने कोड की सावधानीपूर्वक समीक्षा करें और मजबूत इनपुट सत्यापन लागू करने पर विचार करें।
यदि आप SAIL के 0.3.1 से पहले के संस्करण का उपयोग कर रहे हैं और LAB मोड में PSD छवियों को संसाधित कर रहे हैं, तो आप प्रभावित होने की संभावना है।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन प्रवेश परीक्षण और कोड विश्लेषण की सिफारिश की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।