平台
c
组件
littlecms
修复版本
2.18.1
CVE-2026-41254 是 Little CMS (lcms2) 中的一个安全漏洞,由于 CubeSize 计算中的整数溢出检查在乘法之后进行,导致溢出。此漏洞影响 Little CMS (lcms2) 0.0.0 到 2.18 版本。建议升级到 Little CMS 2.19 以修复此问题。
CVE-2026-41254 影响 Little CMS (lcms2) 的版本高达 2.18,在 cmslut.c 文件中的 CubeSize 函数中存在整数溢出。此漏洞是由于溢出检查在乘法 之后 执行,导致不正确的数值在后续操作中使用。攻击者可能利用此漏洞导致拒绝服务 (DoS) 状态,强制程序消耗过多的内存或表现出不可预测的行为。在依赖 lcms2 进行色彩管理的应用程序中,此漏洞尤其令人担忧,例如图像编辑软件、打印和文件格式转换。缺乏 KEV (知识增强向量) 表明有关此漏洞实际利用的信息有限,但潜在风险仍然很大。
CVE-2026-41254 的利用可能需要操纵 CubeSize 函数中使用的输入数据。攻击者可以创建专门设计的颜色配置文件来触发整数溢出。利用的复杂性将取决于 lcms2 在易受攻击应用程序中的使用方式。由于缺乏 KEV,有关特定利用方法的的信息有限。但是,整数溢出的性质表明,利用可能涉及发送精心制作的输入数据以在 CubeSize 函数中产生意外结果。
Applications and systems that rely on Little CMS for color management are at risk, particularly those processing color profiles from external or untrusted sources. This includes image editing software, document conversion tools, printing systems, and any application performing color space transformations.
• c - Monitor applications using Little CMS for unexpected crashes or memory errors. • c - Examine color profile input for unusually large or malformed data. • c - Review system logs for errors related to color processing or memory allocation.
disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
CVE-2026-41254 的解决方案是升级到 Little CMS (lcms2) 的版本 2.18.1 或更高版本。此版本通过在乘法 之前 执行检查来修复整数溢出,从而防止计算不正确的数值。强烈建议使用 lcms2 的系统管理员和开发人员尽快评估升级其系统的可能性。如果无法立即更新,请考虑实施缓解措施,例如限制 CubeSize 函数中使用的输入数据的大小,尽管这可能会影响性能。监控系统日志以查找异常行为也可以帮助检测潜在的利用尝试。
Actualice a la versión 2.18.1 o posterior para mitigar el riesgo de desbordamiento de enteros. Esta actualización corrige la vulnerabilidad al realizar la verificación de desbordamiento después de la multiplicación, previniendo así la explotación.
漏洞分析和关键警报直接发送到您的邮箱。
Little CMS 是一个开源的色彩管理库,用于各种软件应用程序。
它是 Little CMS 中特定安全漏洞的唯一标识符。
如果您使用的是 Little CMS 的 2.18.1 之前的版本,则很可能受到影响。
考虑限制输入数据的大小并监控系统日志。
目前没有特定的工具可用,但安全更新是最好的防御。
CVSS 向量