Escanear grátis
MEDIUMCVE-2026-5317CVSS 6.3

Nothings stb stb_vorbis.c start_decoder escrita fora dos limites (out-of-bounds write)

Plataforma

c

Componente

stb

Corrigido em

1.0.1

1.1.1

1.2.1

1.3.1

1.4.1

1.5.1

1.6.1

1.7.1

1.8.1

1.9.1

1.10.1

1.11.1

1.12.1

1.13.1

1.14.1

1.15.1

1.16.1

1.17.1

1.18.1

1.19.1

1.20.1

1.21.1

1.22.1

AI Confidence: highNVDEPSS 0.0%Revisado: mai. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2026-5317 reside na função startdecoder do arquivo stbvorbis.c nas versões 1.0 a 1.22 do Nothings stb. A manipulação dessa função leva a uma escrita fora dos limites, permitindo a execução remota de código. Um exploit já foi divulgado publicamente. Não há correção disponível.

Impacto e Cenários de Ataque

Uma vulnerabilidade de segurança crítica foi descoberta na biblioteca stb, especificamente na função startdecoder do arquivo stbvorbis.c, afetando versões até 1.22. Essa falha permite uma escrita fora dos limites (out-of-bounds write), o que pode levar à execução de código arbitrário ou negação de serviço. A gravidade da vulnerabilidade é classificada como CVSS 6.3. Alarmantemente, um exploit para essa vulnerabilidade foi divulgado publicamente, aumentando significativamente o risco de ataques. A vulnerabilidade pode ser explorada remotamente, ampliando seu impacto potencial em uma ampla gama de sistemas e aplicativos que utilizam stb. A falta de resposta do fornecedor a divulgações antecipadas sobre essa vulnerabilidade é particularmente preocupante, dificultando os esforços de mitigação oportunos.

Contexto de Exploração

A vulnerabilidade reside na função startdecoder dentro do módulo stbvorbis.c da biblioteca stb. Um atacante pode explorar essa falha enviando dados de entrada especialmente elaborados que desencadeiam uma escrita fora dos limites. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema vulnerável; ele só precisa ser capaz de enviar dados de entrada maliciosos para um aplicativo que use stb. A divulgação pública do exploit simplifica ainda mais a exploração, fornecendo aos atacantes uma ferramenta pronta para uso. A falta de resposta do fornecedor complica a situação, pois não há uma fonte oficial para obter informações sobre a vulnerabilidade ou possíveis soluções.

Quem Está em Riscotraduzindo…

Applications that utilize Nothings stb for decoding Vorbis audio files are at risk. This includes multimedia players, audio processing tools, and any software that integrates stb for audio playback. Shared hosting environments where multiple applications share the same stb library are particularly vulnerable, as a compromise in one application could affect others.

Passos de Detecçãotraduzindo…

• c/binary analysis: Examine binaries using stb for potential memory corruption patterns around the start_decoder function. Use tools like Valgrind or AddressSanitizer to detect out-of-bounds writes during runtime. • file integrity monitoring: Monitor for unexpected modifications to stb_vorbis.c or related libraries. • network traffic analysis: Look for unusual network requests containing potentially malicious media files. • code review: Review applications using Nothings stb for proper input validation and error handling related to media file parsing.

Linha do Tempo do Ataque

  1. Disclosure

    Public Disclosure

  2. PoC

    Exploit Released

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

EPSS

0.04% (percentil 14%)

CISA SSVC

Exploraçãopoc
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R6.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componentestb
FornecedorNothings
Faixa afetadaCorrigido em
1.0 – 1.01.0.1
1.1 – 1.11.1.1
1.2 – 1.21.2.1
1.3 – 1.31.3.1
1.4 – 1.41.4.1
1.5 – 1.51.5.1
1.6 – 1.61.6.1
1.7 – 1.71.7.1
1.8 – 1.81.8.1
1.9 – 1.91.9.1
1.10 – 1.101.10.1
1.11 – 1.111.11.1
1.12 – 1.121.12.1
1.13 – 1.131.13.1
1.14 – 1.141.14.1
1.15 – 1.151.15.1
1.16 – 1.161.16.1
1.17 – 1.171.17.1
1.18 – 1.181.18.1
1.19 – 1.191.19.1
1.20 – 1.201.20.1
1.21 – 1.211.21.1
1.22 – 1.221.22.1

Classificação de Fraqueza (CWE)

CWE-787CWE-119

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado
Sem correção — 52 dias desde a divulgação

Mitigação e Soluções Alternativas

Diante da falta de uma correção (fix) por parte do fornecedor, a mitigação imediata envolve evitar o uso de versões do stb anteriores à 1.22. Se o uso do stb for inevitável, recomenda-se implementar medidas de segurança adicionais, como a validação estrita dos dados de entrada para a função start_decoder. Isso pode incluir a limitação do tamanho dos dados de entrada e a verificação da integridade dos dados. Além disso, monitore de perto os sistemas afetados em busca de sinais de exploração. A atualização para uma versão corrigida do stb é a solução definitiva, mas até que esteja disponível, essas medidas podem ajudar a reduzir o risco. Usuários e desenvolvedores são fortemente aconselhados a estar cientes desta vulnerabilidade e tomar as medidas necessárias para proteger seus sistemas.

Como corrigirtraduzindo…

Actualizar la biblioteca stb a una versión posterior a la 1.9, donde se haya corregido la vulnerabilidad de escritura fuera de límites en la función start_decoder del archivo stb_vorbis.c. Si no hay una versión corregida disponible, considerar el uso de una biblioteca alternativa para el manejo de archivos Vorbis.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-5317 em stb_vorbis.c?

stb é uma coleção de bibliotecas de código aberto para decodificar arquivos de mídia, como imagens e áudio.

Estou afetado pelo CVE-2026-5317 no stb_vorbis.c?

Significa que o código está escrevendo dados em uma memória que não deve ser escrita, o que pode corromper dados ou permitir a execução de código malicioso.

Como corrijo o CVE-2026-5317 no stb_vorbis.c?

Se você estiver usando stb versão 1.22 ou anterior, provavelmente estará afetado. Revise seu projeto para identificar quaisquer instâncias de stb.

O CVE-2026-5317 está sendo explorado ativamente?

Implemente validações de entrada estritas para a função start_decoder e monitore seus sistemas em busca de atividade suspeita.

Onde encontro o aviso oficial do stb_vorbis.c para o CVE-2026-5317?

Dependendo de suas necessidades, outras bibliotecas de decodificação de áudio estão disponíveis, embora a compatibilidade possa variar.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs