Platform
c
Component
openexr
Opgelost in
3.4.1
CVE-2026-34378 is een Integer Overflow kwetsbaarheid in OpenEXR, een bibliotheek voor het verwerken van EXR-afbeeldingsbestanden. Deze kwetsbaarheid ontstaat door een ontbrekende bounds check in de dataWindow attribute van EXR-bestandskoppen, waardoor een integer overflow kan worden veroorzaakt. De kwetsbaarheid treft OpenEXR versies 3.4.0 tot en met 3.4.8. Een patch is beschikbaar in versie 3.4.9.
CVE-2026-34378 in OpenEXR, met een CVSS-score van 6.5, treft versies van 3.4.0 tot en met 3.4.8. Het komt door een ontbrekende grenswaardecontrole op het 'dataWindow'-attribuut in EXR-bestandsheaders. Een aanvaller kan deze kwetsbaarheid misbruiken door de waarde van 'dataWindow.min.x' in te stellen op een zeer grote negatieve waarde. Dit zorgt ervoor dat OpenEXRCore een overmatig grote beeldbreedte berekent, die vervolgens wordt gebruikt in een gesigneerde integer-vermenigvuldiging die resulteert in een overflow, wat mogelijk onverwacht gedrag of een denial-of-service kan veroorzaken. De kwetsbaarheid bevindt zich in de functie 'generic_unpack()'.
Een aanvaller zou deze kwetsbaarheid kunnen misbruiken door een kwaadaardig EXR-bestand te creëren met een speciaal ontworpen waarde voor 'dataWindow.min.x'. Het openen van dit bestand met een kwetsbare versie van OpenEXR zou de integer-overflow kunnen triggeren. De impact van het misbruik kan variëren afhankelijk van de context van het gebruik van OpenEXR, maar kan gegevenscorruptie, denial-of-service of, in complexere scenario's, willekeurige code-uitvoering omvatten. De moeilijkheidsgraad van het misbruik is relatief laag, aangezien alleen de creatie van een kwaadaardig EXR-bestand vereist is.
Motion picture production houses, visual effects studios, and any organizations utilizing OpenEXR for image storage and processing are at risk. Systems running older versions of OpenEXR (3.4.0 - 3.4.8) are particularly vulnerable, especially those handling untrusted EXR files or integrated into automated workflows.
• linux / server:
journalctl -u opencore -g 'SIGILL'• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'opencore' -and $_.HasExited} | Select-Object -ExpandProperty ExitCode• generic web:
curl -I <EXR_FILE_URL> | grep -i 'Content-Type: image/exr'disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor CVE-2026-34378 is het upgraden naar OpenEXR versie 3.4.9 of hoger. Deze versie bevat een correctie die de noodzakelijke grenswaardecontrole implementeert om de integer-overflow te voorkomen. Gebruikers die versies vóór 3.4.9 gebruiken, worden ten zeerste aangeraden hun systemen onmiddellijk bij te werken om potentiële misbruik te voorkomen. Daarnaast is het raadzaam om EXR-bestanden van onbetrouwbare bronnen te controleren voordat ze worden verwerkt op mogelijke manipulaties.
Actualice a la versión 3.4.9 o posterior para mitigar el riesgo de un desbordamiento de enteros con signo. Esta actualización incluye una verificación de límites en el atributo dataWindow, previniendo la vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenEXR is een referentie-implementatie en specificatie van het EXR-bestandsformaat, dat in de filmindustrie wordt gebruikt voor de opslag van hoogwaardige beelden.
Een integer-overflow treedt op wanneer het resultaat van een rekenkundige bewerking de maximale capaciteit van een integer-datatype overschrijdt, wat mogelijk onverwachte resultaten kan veroorzaken.
De OpenEXR-versie kan worden gecontroleerd door de informatie van de geïnstalleerde bibliotheek op uw besturingssysteem te controleren of door een specifieke opdracht uit te voeren, afhankelijk van uw ontwikkelomgeving.
Als u niet onmiddellijk kunt upgraden, wordt aanbevolen om EXR-bestanden van onbetrouwbare bronnen te vermijden en het gedrag van OpenEXR nauwlettend in de gaten te houden.
De kwetsbaarheid treft applicaties die de kwetsbare versie van OpenEXR rechtstreeks gebruiken. Als een applicatie een nieuwere OpenEXR-bibliotheek gebruikt, wordt deze niet getroffen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.