प्लेटफ़ॉर्म
c
घटक
littlecms
में ठीक किया गया
2.18.1
CVE-2026-41254 Little CMS (lcms2) के संस्करणों में एक भेद्यता है जो 2.18 से कम या उसके बराबर हैं। CubeSize में एक पूर्णांक अतिप्रवाह है क्योंकि अतिप्रवाह जाँच गुणा के बाद की जाती है।
CVE-2026-41254 Little CMS (lcms2) के संस्करण 2.18 तक को प्रभावित करता है, जिसमें cmslut.c फ़ाइल में CubeSize फ़ंक्शन में एक पूर्णांक अतिप्रवाह होता है। यह दोष इस तथ्य के कारण होता है कि अतिप्रवाह जांच गुणा के बाद की जाती है, जिसके परिणामस्वरूप गलत मान बाद के कार्यों में उपयोग किए जा सकते हैं। एक हमलावर इस कमजोरी का उपयोग इनकार-सेवा (DoS) स्थिति का कारण बनने के लिए कर सकता है, जिससे प्रोग्राम अत्यधिक मेमोरी का उपभोग करने या अप्रत्याशित रूप से व्यवहार करने के लिए मजबूर हो जाता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों में चिंताजनक है जो रंग प्रबंधन के लिए lcms2 पर निर्भर करते हैं, जैसे कि छवि संपादन सॉफ़्टवेयर, प्रिंटिंग और फ़ाइल प्रारूप रूपांतरण। KEV (ज्ञान वृद्धि वेक्टर) की अनुपस्थिति का संकेत है कि इस भेद्यता के वास्तविक शोषण के बारे में जानकारी सीमित है, लेकिन संभावित जोखिम अभी भी महत्वपूर्ण है।
CVE-2026-41254 का शोषण करने के लिए CubeSize फ़ंक्शन में उपयोग किए जाने वाले इनपुट डेटा में हेरफेर करने की आवश्यकता होगी। एक हमलावर एक विशेष रूप से डिज़ाइन की गई रंग प्रोफ़ाइल फ़ाइल बना सकता है जो पूर्णांक अतिप्रवाह को ट्रिगर करती है। शोषण की जटिलता इस बात पर निर्भर करेगी कि lcms2 कमजोर एप्लिकेशन के भीतर कैसे उपयोग किया जाता है। KEV की अनुपस्थिति के कारण, विशिष्ट शोषण विधियों के बारे में जानकारी सीमित है। हालांकि, पूर्णांक अतिप्रवाह की प्रकृति से पता चलता है कि शोषण में CubeSize फ़ंक्शन में अप्रत्याशित परिणाम उत्पन्न करने के लिए सावधानीपूर्वक तैयार किए गए इनपुट डेटा को भेजना शामिल हो सकता है।
Applications and systems that rely on Little CMS for color management are at risk, particularly those processing color profiles from external or untrusted sources. This includes image editing software, document conversion tools, printing systems, and any application performing color space transformations.
• c - Monitor applications using Little CMS for unexpected crashes or memory errors. • c - Examine color profile input for unusually large or malformed data. • c - Review system logs for errors related to color processing or memory allocation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-41254 के लिए समाधान Little CMS (lcms2) के संस्करण 2.18.1 या उच्चतर में अपग्रेड करना है। यह संस्करण गुणा के पहले जांच करके पूर्णांक अतिप्रवाह को ठीक करता है, जिससे गलत मानों की गणना को रोका जा सकता है। lcms2 का उपयोग करने वाले सिस्टम प्रशासकों और डेवलपर्स को जल्द से जल्द अपने सिस्टम को अपग्रेड करने की संभावना का मूल्यांकन करने की दृढ़ता से सलाह दी जाती है। यदि तत्काल अपग्रेड संभव नहीं है, तो CubeSize फ़ंक्शन में उपयोग किए जाने वाले इनपुट डेटा के आकार को सीमित करने जैसे शमन उपायों को लागू करने पर विचार करें, हालांकि इससे प्रदर्शन प्रभावित हो सकता है। सिस्टम लॉग की निगरानी असामान्य व्यवहार के लिए भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है।
Actualice a la versión 2.18.1 o posterior para mitigar el riesgo de desbordamiento de enteros. Esta actualización corrige la vulnerabilidad al realizar la verificación de desbordamiento después de la multiplicación, previniendo así la explotación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Little CMS एक ओपन-सोर्स रंग प्रबंधन लाइब्रेरी है जिसका उपयोग विभिन्न सॉफ़्टवेयर अनुप्रयोगों में किया जाता है।
यह Little CMS में एक विशिष्ट सुरक्षा भेद्यता के लिए एक अद्वितीय पहचानकर्ता है।
यदि आप Little CMS के 2.18.1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं।
इनपुट डेटा के आकार को सीमित करें और सिस्टम लॉग की निगरानी करें।
वर्तमान में कोई विशिष्ट उपकरण उपलब्ध नहीं है, लेकिन सुरक्षा अपडेट सबसे अच्छा बचाव है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।