Plataforma
c
Componente
littlecms
Corrigido em
2.18.1
Uma vulnerabilidade de Integer Overflow foi descoberta no Little CMS (lcms2), afetando versões de 0.0.0 até 2.18. O overflow ocorre em CubeSize em cmslut.c, pois a verificação do overflow é realizada após a multiplicação. A correção está disponível na versão 2.19.
A vulnerabilidade CVE-2026-41254 afeta o Little CMS (lcms2) em versões até 2.18, apresentando um estouro de inteiro na função CubeSize, localizada no arquivo cmslut.c. Este problema ocorre porque a verificação de estouro é realizada após a multiplicação, permitindo que um valor incorreto seja utilizado em operações subsequentes. Um atacante pode explorar isso para causar uma negação de serviço (DoS), forçando o programa a consumir uma quantidade excessiva de memória ou a se comportar de maneira imprevisível. A vulnerabilidade é particularmente preocupante em aplicações que dependem do lcms2 para gerenciamento de cores, como software de edição de imagens, impressão e conversão de formatos de arquivo. A ausência de um KEV (Knowledge Enhancement Vector) indica que a informação sobre a exploração real desta vulnerabilidade é limitada, mas o risco potencial permanece significativo.
A exploração da CVE-2026-41254 provavelmente exigiria a manipulação dos dados de entrada utilizados na função CubeSize. Um atacante poderia criar um arquivo de perfil de cor especialmente projetado para desencadear o estouro de inteiro. A complexidade da exploração dependerá de como o lcms2 é utilizado na aplicação vulnerável. Dada a ausência de um KEV, a informação sobre métodos de exploração específicos é limitada. No entanto, a natureza do estouro de inteiro sugere que a exploração poderia envolver o envio de dados de entrada cuidadosamente elaborados para produzir um resultado inesperado na função CubeSize.
Applications and systems that rely on Little CMS for color management are at risk, particularly those processing color profiles from external or untrusted sources. This includes image editing software, document conversion tools, printing systems, and any application performing color space transformations.
• c - Monitor applications using Little CMS for unexpected crashes or memory errors. • c - Examine color profile input for unusually large or malformed data. • c - Review system logs for errors related to color processing or memory allocation.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-41254 é atualizar para a versão 2.18.1 do Little CMS (lcms2) ou superior. Esta versão corrige o estouro de inteiro realizando a verificação antes da multiplicação, prevenindo assim o cálculo de valores incorretos. Administradores de sistemas e desenvolvedores que utilizam o lcms2 são fortemente aconselhados a avaliar a possibilidade de atualizar seus sistemas o mais breve possível. Se uma atualização não for imediatamente viável, considere implementar medidas de mitigação, como limitar o tamanho dos dados de entrada utilizados na função CubeSize, embora isso possa impactar o desempenho. Monitorar os logs do sistema em busca de comportamentos anômalos também pode ajudar a detectar tentativas de exploração.
Actualice a la versión 2.18.1 o posterior para mitigar el riesgo de desbordamiento de enteros. Esta actualización corrige la vulnerabilidad al realizar la verificación de desbordamiento después de la multiplicación, previniendo así la explotación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Little CMS é uma biblioteca de código aberto para gerenciamento de cores, utilizada em uma variedade de aplicações de software.
É um identificador único para uma vulnerabilidade de segurança específica no Little CMS.
Se você estiver usando uma versão do Little CMS anterior à 2.18.1, provavelmente estará afetado.
Considere limitar o tamanho dos dados de entrada e monitorar os logs do sistema.
Atualmente, não existem ferramentas específicas disponíveis, mas as atualizações de segurança são a melhor defesa.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.