प्लेटफ़ॉर्म
c
घटक
stb
में ठीक किया गया
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
CVE-2026-5316, Nothings stb के 1.22 संस्करण तक में पाई गई एक भेद्यता है। यह भेद्यता stbvorbis.c फ़ाइल के setupfree फ़ंक्शन में संसाधन आवंटन से संबंधित है। इस भेद्यता का फायदा दूर से उठाया जा सकता है, जिससे सिस्टम संसाधनों का दुरुपयोग हो सकता है। प्रभावित संस्करण 1.0 से 1.22 तक हैं। इस भेद्यता के लिए अभी तक कोई आधिकारिक पैच उपलब्ध नहीं है।
Nothings stb के संस्करण 1.22 और उससे पहले में एक भेद्यता की पहचान की गई है। प्रभावित तत्व फ़ाइल stbvorbis.c में setupfree फ़ंक्शन है। यह हेरफेर अत्यधिक संसाधन आवंटन की ओर ले जाता है, जिससे संभावित रूप से इनकार-सेवा (DoS) स्थिति हो सकती है या, अधिक जटिल परिदृश्यों में, मनमाना कोड निष्पादन हो सकता है। शोषण की दूरस्थ प्रकृति का मतलब है कि एक हमलावर प्रभावित सिस्टम तक स्थानीय पहुंच की आवश्यकता के बिना इस भेद्यता का फायदा उठा सकता है। एक कार्यात्मक शोषण की सार्वजनिक उपलब्धता जोखिम को काफी बढ़ा देती है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा इसके उपयोग को सुविधाजनक बनाती है। इस भेद्यता के बारे में प्रारंभिक प्रकटीकरण सूचनाओं के लिए विक्रेता की प्रतिक्रिया की कमी चिंताजनक है, जो इंगित करती है कि कोई आधिकारिक फिक्स प्रदान नहीं किया गया है।
stb में CVE-2026-5316 भेद्यता stbvorbis.c फ़ाइल में setupfree फ़ंक्शन को हेरफेर करके शोषण की जाती है। एक हमलावर अत्यधिक संसाधन आवंटन को ट्रिगर करने के लिए एक सेवा को विशेष रूप से तैयार किए गए डेटा भेज सकता है जो stb का उपयोग करता है। एक शोषण की सार्वजनिक उपलब्धता इस हमले को दोहराना सरल बनाती है। भेद्यता की दूरस्थ प्रकृति का मतलब है कि एक हमलावर नेटवर्क एक्सेस के साथ किसी भी स्थान से हमले को लॉन्च कर सकता है, जिससे यह विशेष रूप से खतरनाक हो जाता है क्योंकि इसे भौतिक पहुंच या प्रमाणीकरण के बिना शोषण किया जा सकता है।
Applications and systems that utilize Nothings stb library versions 1.0 through 1.22 are at risk. This includes multimedia players, embedded systems, and any software that processes audio files using this library. Developers who have integrated Nothings stb into their projects should prioritize upgrading or implementing mitigation strategies.
• c/generic: Monitor memory usage for sudden spikes, especially during media processing. Use tools like top or htop to observe resource consumption.
• c/generic: Examine application logs for errors related to memory allocation or resource exhaustion.
• c/generic: Static analysis of the stbvorbis.c file for the vulnerable setupfree function. Look for calls to allocation functions with potentially unbounded arguments.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
विक्रेता की प्रतिक्रिया की कमी को देखते हुए, इस भेद्यता को कम करने के लिए एक सक्रिय दृष्टिकोण की आवश्यकता है। हम जल्द से जल्द stb लाइब्रेरी के बाद के संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा करते हैं। इस बीच, Vorbis डिकोडिंग फ़ंक्शंस को आवंटित संसाधनों को सीमित करने, मेमोरी उपयोग की निगरानी करने और stb का उपयोग करने वाली सेवाओं तक दूरस्थ पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू करने जैसे शमन उपायों को लागू किया जा सकता है। इसके अतिरिक्त, setup_free फ़ंक्शन के किसी भी कमजोर उपयोग की पहचान करने और ठीक करने के लिए कोड विश्लेषण किया जाना चाहिए। सिस्टम संसाधनों तक न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने से भी संभावित शोषण के प्रभाव को कम करने में मदद मिल सकती है।
No hay una solución disponible por parte del proveedor. Se recomienda revisar el código fuente de stb_vorbis.c y aplicar las mitigaciones necesarias para evitar la asignación excesiva de recursos en la función setup_free. Considere utilizar una versión parcheada por la comunidad o una biblioteca alternativa.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
stb छवियों, ऑडियो और वीडियो के लिए सार्वजनिक डोमेन केवल-हेडर स्रोत कोड लाइब्रेरी का एक संग्रह है। यह व्यापक रूप से गेम और मल्टीमीडिया अनुप्रयोगों में उपयोग किया जाता है।
इसका मतलब है कि एक प्रोग्राम आवश्यक या अधिकृत से अधिक मेमोरी या सिस्टम संसाधनों का उपयोग कर रहा है, जिससे सिस्टम विफलता या इनकार-सेवा हो सकता है।
यदि आप संस्करण 1.22 या उससे पहले के stb लाइब्रेरी का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। यह निर्धारित करने के लिए अपने प्रोजेक्ट की निर्भरताएँ जाँचें कि क्या stb मौजूद है।
संसाधन आवंटन को सीमित करने, मेमोरी उपयोग की निगरानी करने और फ़ायरवॉल नियमों को लागू करने जैसे शमन उपायों को लागू करें।
विक्रेता की प्रतिक्रिया की कमी चिंताजनक है और आधिकारिक फिक्स प्राप्त करना मुश्किल बना देती है। स्थिति की निगरानी करें और समुदाय से अपडेट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।