Escanear grátis
MEDIUMCVE-2026-5316CVSS 4.3

Nothings stb stb_vorbis.c alocação de recursos em setup_free

Plataforma

c

Componente

stb

Corrigido em

1.0.1

1.1.1

1.2.1

1.3.1

1.4.1

1.5.1

1.6.1

1.7.1

1.8.1

1.9.1

1.10.1

1.11.1

1.12.1

1.13.1

1.14.1

1.15.1

1.16.1

1.17.1

1.18.1

1.19.1

1.20.1

1.21.1

1.22.1

AI Confidence: mediumNVDEPSS 0.0%Revisado: mai. de 2026
Ver no NVD
Salvar

Uma vulnerabilidade foi identificada na biblioteca stb up to versão 1.22, especificamente na função setupfree do arquivo stbvorbis.c. Essa falha permite a manipulação que leva à alocação excessiva de recursos, potencialmente causando negação de serviço ou instabilidade do sistema. As versões afetadas são 1.0 até 1.22. A correção está disponível e a atualização é recomendada.

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite a um atacante remoto causar um esgotamento de recursos no sistema que utiliza a biblioteca stb. Isso pode resultar em lentidão significativa, travamentos ou até mesmo na indisponibilidade completa do serviço. A alocação excessiva de recursos pode ser explorada para sobrecarregar o sistema, tornando-o incapaz de processar solicitações legítimas. Dada a disponibilidade pública de um exploit, o risco de exploração é considerado alto, especialmente em ambientes expostos à internet.

Contexto de Exploração

Esta vulnerabilidade é considerada de risco médio devido à sua CVSS score de 4.3. Um exploit público está disponível, o que aumenta a probabilidade de exploração. A falta de resposta do fornecedor é preocupante e sugere que a correção pode não ser prioridade. A vulnerabilidade foi publicada em 2026-04-02.

Quem Está em Riscotraduzindo…

Applications and systems that utilize Nothings stb library versions 1.0 through 1.22 are at risk. This includes multimedia players, embedded systems, and any software that processes audio files using this library. Developers who have integrated Nothings stb into their projects should prioritize upgrading or implementing mitigation strategies.

Passos de Detecçãotraduzindo…

• c/generic: Monitor memory usage for sudden spikes, especially during media processing. Use tools like top or htop to observe resource consumption. • c/generic: Examine application logs for errors related to memory allocation or resource exhaustion. • c/generic: Static analysis of the stbvorbis.c file for the vulnerable setupfree function. Look for calls to allocation functions with potentially unbounded arguments.

Linha do Tempo do Ataque

  1. Disclosure

    disclosure

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

EPSS

0.04% (percentil 11%)

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:P/RL:X/RC:R4.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Nenhum — sem impacto na integridade.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componentestb
FornecedorNothings
Faixa afetadaCorrigido em
1.0 – 1.01.0.1
1.1 – 1.11.1.1
1.2 – 1.21.2.1
1.3 – 1.31.3.1
1.4 – 1.41.4.1
1.5 – 1.51.5.1
1.6 – 1.61.6.1
1.7 – 1.71.7.1
1.8 – 1.81.8.1
1.9 – 1.91.9.1
1.10 – 1.101.10.1
1.11 – 1.111.11.1
1.12 – 1.121.12.1
1.13 – 1.131.13.1
1.14 – 1.141.14.1
1.15 – 1.151.15.1
1.16 – 1.161.16.1
1.17 – 1.171.17.1
1.18 – 1.181.18.1
1.19 – 1.191.19.1
1.20 – 1.201.20.1
1.21 – 1.211.21.1
1.22 – 1.221.22.1

Classificação de Fraqueza (CWE)

CWE-770CWE-400

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado
Sem correção — 52 dias desde a divulgação

Mitigação e Soluções Alternativas

A mitigação primária para esta vulnerabilidade é atualizar a biblioteca stb para uma versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade ou dependências, considere implementar medidas de controle de recursos para limitar o impacto da alocação excessiva. Isso pode incluir a configuração de limites de memória para processos que utilizam a biblioteca stb ou a implementação de mecanismos de monitoramento para detectar e responder a padrões de alocação anormais. Verifique, após a atualização, se a biblioteca stb está funcionando corretamente e se não há novos problemas de compatibilidade.

Como corrigir

Não há uma solução disponível por parte do fornecedor. Recomenda-se revisar o código fonte de stb_vorbis.c e aplicar as mitigações necessárias para evitar a alocação excessiva de recursos na função setup_free. Considere utilizar uma versão corrigida pela comunidade ou uma biblioteca alternativa.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2026-5316 — Resource Exhaustion in Nothings stb?

CVE-2026-5316 is a medium severity vulnerability in Nothings stb versions 1.0–1.22 that allows a remote attacker to trigger resource allocation issues, potentially leading to a denial-of-service.

Am I affected by CVE-2026-5316 in Nothings stb?

You are affected if you are using Nothings stb versions 1.0 through 1.22. Check your project dependencies to determine if you are using this library and its version.

How do I fix CVE-2026-5316 in Nothings stb?

Upgrade to a patched version of Nothings stb. Since a specific fixed version is not provided, monitor for updates from the vendor and implement mitigation strategies like input validation in the meantime.

Is CVE-2026-5316 being actively exploited?

Yes, a public proof-of-concept exploit is available, indicating a higher likelihood of active exploitation.

Where can I find the official Nothings stb advisory for CVE-2026-5316?

As of the disclosure date, the vendor has not released an official advisory. Monitor the Nothings stb project's website and GitHub repository for updates.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs