Plataforma
c
Componente
stb
Corrigido em
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
Uma vulnerabilidade foi identificada na biblioteca stb up to versão 1.22, especificamente na função setupfree do arquivo stbvorbis.c. Essa falha permite a manipulação que leva à alocação excessiva de recursos, potencialmente causando negação de serviço ou instabilidade do sistema. As versões afetadas são 1.0 até 1.22. A correção está disponível e a atualização é recomendada.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante remoto causar um esgotamento de recursos no sistema que utiliza a biblioteca stb. Isso pode resultar em lentidão significativa, travamentos ou até mesmo na indisponibilidade completa do serviço. A alocação excessiva de recursos pode ser explorada para sobrecarregar o sistema, tornando-o incapaz de processar solicitações legítimas. Dada a disponibilidade pública de um exploit, o risco de exploração é considerado alto, especialmente em ambientes expostos à internet.
Esta vulnerabilidade é considerada de risco médio devido à sua CVSS score de 4.3. Um exploit público está disponível, o que aumenta a probabilidade de exploração. A falta de resposta do fornecedor é preocupante e sugere que a correção pode não ser prioridade. A vulnerabilidade foi publicada em 2026-04-02.
Applications and systems that utilize Nothings stb library versions 1.0 through 1.22 are at risk. This includes multimedia players, embedded systems, and any software that processes audio files using this library. Developers who have integrated Nothings stb into their projects should prioritize upgrading or implementing mitigation strategies.
• c/generic: Monitor memory usage for sudden spikes, especially during media processing. Use tools like top or htop to observe resource consumption.
• c/generic: Examine application logs for errors related to memory allocation or resource exhaustion.
• c/generic: Static analysis of the stbvorbis.c file for the vulnerable setupfree function. Look for calls to allocation functions with potentially unbounded arguments.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar a biblioteca stb para uma versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade ou dependências, considere implementar medidas de controle de recursos para limitar o impacto da alocação excessiva. Isso pode incluir a configuração de limites de memória para processos que utilizam a biblioteca stb ou a implementação de mecanismos de monitoramento para detectar e responder a padrões de alocação anormais. Verifique, após a atualização, se a biblioteca stb está funcionando corretamente e se não há novos problemas de compatibilidade.
Não há uma solução disponível por parte do fornecedor. Recomenda-se revisar o código fonte de stb_vorbis.c e aplicar as mitigações necessárias para evitar a alocação excessiva de recursos na função setup_free. Considere utilizar uma versão corrigida pela comunidade ou uma biblioteca alternativa.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5316 is a medium severity vulnerability in Nothings stb versions 1.0–1.22 that allows a remote attacker to trigger resource allocation issues, potentially leading to a denial-of-service.
You are affected if you are using Nothings stb versions 1.0 through 1.22. Check your project dependencies to determine if you are using this library and its version.
Upgrade to a patched version of Nothings stb. Since a specific fixed version is not provided, monitor for updates from the vendor and implement mitigation strategies like input validation in the meantime.
Yes, a public proof-of-concept exploit is available, indicating a higher likelihood of active exploitation.
As of the disclosure date, the vendor has not released an official advisory. Monitor the Nothings stb project's website and GitHub repository for updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.