MEDIUMCVE-2026-5316CVSS 4.3

Nothings stb stb_vorbis.c setup_free 资源分配

平台

组件

stb

修复版本

1.0.1

1.1.1

1.2.1

1.3.1

1.4.1

1.5.1

1.6.1

1.7.1

1.8.1

1.9.1

1.10.1

1.11.1

1.12.1

1.13.1

AI Confidence: mediumNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5316 是 Nothings stb 库中一个资源分配漏洞，存在于 1.22 及更早版本中。该漏洞位于 stbvorbis.c 文件的 setupfree 函数中，允许远程攻击者通过操纵输入来耗尽资源，导致拒绝服务。受影响的版本包括 1.0 到 1.22。目前，供应商尚未发布修复程序，也没有对此漏洞披露做出回应。

影响与攻击场景

在 Nothings stb 的 1.22 版本及更早版本中发现了一个漏洞，具体位于 stbvorbis.c 文件的 setupfree 函数。此漏洞允许过度分配资源，可能导致拒绝服务（DoS）状况，或在更复杂的场景下，导致任意代码执行。漏洞的远程利用意味着攻击者无需访问受影响的系统即可利用此漏洞。公开可用的有效漏洞利用程序显著增加了风险，因为它便于恶意行为者使用。供应商对早期漏洞披露通知的缺乏响应令人担忧，表明没有提供官方修复程序。

利用背景

stb 中的 CVE-2026-5316 漏洞是通过操纵 stbvorbis.c 文件中的 setupfree 函数来利用的。攻击者可以将专门制作的数据发送到使用 stb 的服务，以触发过度资源分配。公开可用的漏洞利用程序简化了此攻击的复制。漏洞的远程性质意味着攻击者可以从任何具有网络访问权限的位置发起攻击，使其特别危险，因为它可以在没有物理访问或身份验证的情况下被利用。

哪些人处于风险中翻译中…

Applications and systems that utilize Nothings stb library versions 1.0 through 1.22 are at risk. This includes multimedia players, embedded systems, and any software that processes audio files using this library. Developers who have integrated Nothings stb into their projects should prioritize upgrading or implementing mitigation strategies.

检测步骤翻译中…

• c/generic: Monitor memory usage for sudden spikes, especially during media processing. Use tools like top or htop to observe resource consumption. • c/generic: Examine application logs for errors related to memory allocation or resource exhaustion. • c/generic: Static analysis of the stbvorbis.c file for the vulnerable setupfree function. Look for calls to allocation functions with potentially unbounded arguments.

攻击时间线

2026-04-02Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件stb

供应商Nothings

影响范围修复版本

1.0 – 1.01.0.1

1.1 – 1.11.1.1

1.2 – 1.21.2.1

1.3 – 1.31.3.1

1.4 – 1.41.4.1

1.5 – 1.51.5.1

1.6 – 1.61.6.1

1.7 – 1.71.7.1

1.8 – 1.81.8.1

弱点分类 (CWE)

CWE-770 CWE-400

时间线

已保留2026-04-01
发布日期2026-04-02
EPSS 更新日期2026-04-09

未修复 — 披露已52天

缓解措施和替代方案

由于供应商缺乏响应，因此减轻此漏洞需要积极主动的方法。我们强烈建议尽快升级到 stb 库的更高版本。在此期间，可以实施缓解措施，例如限制 Vorbis 解码函数分配的资源，监控内存使用情况，并应用防火墙规则以限制对使用 stb 的服务的远程访问。此外，应执行代码分析以识别和更正 setup_free 函数的任何易受攻击的使用。将最小权限原则应用于系统资源访问也可以帮助减少潜在漏洞的影响。

修复方法翻译中…

No hay una solución disponible por parte del proveedor. Se recomienda revisar el código fuente de stb_vorbis.c y aplicar las mitigaciones necesarias para evitar la asignación excesiva de recursos en la función setup_free. Considere utilizar una versión parcheada por la comunidad o una biblioteca alternativa.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5316 是什么 — stb_vorbis.c 中的漏洞？

stb 是一个用于图像、音频和视频的公共领域仅限头文件的源代码库集合。它广泛用于游戏和多媒体应用程序。

stb_vorbis.c 中的 CVE-2026-5316 是否会影响我？

这意味着程序正在使用超过其需要或被授权使用的内存或系统资源，这可能导致系统故障或拒绝服务。

如何修复 stb_vorbis.c 中的 CVE-2026-5316？

如果您正在使用 stb 库的版本 1.22 或更早版本，您很可能受到影响。请查看您的项目的依赖项以确定是否存在 stb。

CVE-2026-5316 是否正在被积极利用？

实施缓解措施，例如限制资源分配、监控内存使用情况和应用防火墙规则。

在哪里可以找到 stb_vorbis.c 关于 CVE-2026-5316 的官方安全通告？

供应商缺乏响应令人担忧，并阻碍了获得官方修复程序。监控情况并查找社区的更新。