Platform
c
Component
sail
Opgelost in
930284445.0.1
SAIL is een cross-platform bibliotheek voor het laden en opslaan van afbeeldingen. Deze kwetsbaarheid, een buffer overflow, treedt op doordat de pixel buffer onjuist wordt toegewezen, wat resulteert in een overschrijding bij elke pixel write. De kwetsbaarheid beïnvloedt versies van SAIL vóór commit c930284445ea3ff94451ccd7a57c999eca3bc979. Een update naar versie 0.3.1 is beschikbaar om dit probleem te verhelpen.
CVE-2026-40493 treft de SAIL-bibliotheek, die wordt gebruikt voor het laden en opslaan van afbeeldingen op verschillende platforms. De kwetsbaarheid ligt in de PSD-codec, specifiek in de berekening van bytes per pixel (bpp) in LAB-modus. Voorafgaand aan de correctie in versie 0.3.1 was de bpp-berekening gebaseerd op de vermenigvuldiging van kanalen en diepte, maar de toewijzing van de pixelbuffer vond plaats op basis van het opgeloste pixelformaat. Dit leidt tot een situatie waarin, in LAB-modus met 3 kanalen en een diepte van 16 bits, de berekende bpp onjuist is (6 bytes), terwijl het formaat BPP40CIELAB slechts 5 bytes per pixel toewijst. Deze discrepantie leidt tot een buffer overflow, waardoor potentieel code op afstand kan worden uitgevoerd of een denial-of-service kan worden veroorzaakt, afhankelijk van de applicatiecontext die SAIL gebruikt. De CVSS-severity score is 9.8, wat een kritiek risico aangeeft.
Exploitatie van CVE-2026-40493 vereist de verwerking van een kwaadaardige PSD-afbeelding in LAB-modus door een applicatie die de kwetsbare SAIL-bibliotheek gebruikt. Een aanvaller kan een speciaal ontworpen PSD-afbeelding creëren om de discrepantie in de bpp-berekening en de buffertoewijzing te exploiteren. De complexiteit van de exploitatie hangt af van de applicatie die SAIL gebruikt en de geïmplementeerde beveiligingsmaatregelen. Een aanvaller die controle heeft over de creatie of wijziging van PSD-afbeeldingen kan deze kwetsbaarheid exploiteren. Het ontbreken van invoervalidatie in de applicatie die PSD-afbeeldingen verwerkt, vergroot het risico op exploitatie aanzienlijk. Code op afstand kan worden uitgevoerd als de kwetsbare applicatie verhoogde privileges heeft.
Applications and systems that utilize the SAIL library to process PSD images are at risk. This includes image editing software, media processing pipelines, and any application that relies on SAIL for image loading and saving. Specifically, systems using older versions of SAIL in automated image processing workflows are particularly vulnerable.
• linux / server:
ps aux | grep sail• generic web:
curl -I <URL_WITH_PSD_FILE>Inspect the response headers for any unusual content-type or content-length values associated with PSD files. Monitor system logs for any crashes or errors related to SAIL or image processing libraries.
disclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-40493 is het updaten van de SAIL-bibliotheek naar versie 0.3.1 of hoger. Deze versie corrigeert de onjuiste bpp-berekening in de PSD-codec en elimineert zo de mogelijkheid van een buffer overflow. Als een onmiddellijke update niet mogelijk is, wordt een zorgvuldige beoordeling van de code aanbevolen die SAIL gebruikt om PSD-afbeeldingen in LAB-modus te verwerken, op zoek naar potentiële gebruikspatronen die de kwetsbaarheid kunnen blootleggen. Bovendien wordt het implementeren van een robuuste invoervalidatie voor PSD-afbeeldingen aanbevolen, hoewel dit geen volledige oplossing is en het risico slechts vermindert. Het monitoren van PSD-afbeeldingsbronnen en het beperken van het laden van bestanden uit onbetrouwbare bronnen kan ook helpen om het risico te verminderen.
Actualice la biblioteca SAIL a la versión 0.3.1 o posterior para mitigar el desbordamiento del búfer de la pila. La actualización corrige un error en el decodificador PSD que causaba un desbordamiento del búfer de la pila al procesar imágenes LAB de 16 bits debido a una discrepancia en el cálculo de bytes por píxel.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SAIL is een open-source bibliotheek voor het laden en opslaan van afbeeldingen met ondersteuning voor animatie, metadata en ICC-profielen.
Deze update pakt een kritieke kwetsbaarheid aan die mogelijk tot code op afstand of een denial-of-service kan leiden.
Controleer uw code zorgvuldig en overweeg om een robuuste invoervalidatie te implementeren.
Als u een versie van SAIL gebruikt vóór 0.3.1 en PSD-afbeeldingen in LAB-modus verwerkt, is de kans groot dat u getroffen bent.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar penetratietesten en codeanalyse worden aanbevolen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.