CVE-2026-5317：stb_vorbis.c 存在越界写入漏洞 (1.0-1.22)

在 stb 库中发现了一个关键的安全漏洞，具体位于 stbvorbis.c 文件的 startdecoder 函数中，影响版本高达 1.22。 此漏洞允许进行越界写入（out-of-bounds write），可能导致任意代码执行或拒绝服务。 该漏洞的严重程度评分为 CVSS 6.3。 令人担忧的是，该漏洞的利用代码已公开，从而大大增加了攻击的风险。 该漏洞可以从远程进行利用，扩大了其对使用 stb 的各种系统和应用程序的潜在影响。 供应商对该漏洞的早期披露的回应不足尤其令人担忧，这阻碍了及时缓解工作的进行。

Applications that utilize Nothings stb for decoding Vorbis audio files are at risk. This includes multimedia players, audio processing tools, and any software that integrates stb for audio playback. Shared hosting environments where multiple applications share the same stb library are particularly vulnerable, as a compromise in one application could affect others.

• c/binary analysis: Examine binaries using stb for potential memory corruption patterns around the start_decoder function. Use tools like Valgrind or AddressSanitizer to detect out-of-bounds writes during runtime. • file integrity monitoring: Monitor for unexpected modifications to stb_vorbis.c or related libraries. • network traffic analysis: Look for unusual network requests containing potentially malicious media files. • code review: Review applications using Nothings stb for proper input validation and error handling related to media file parsing.

1. 2026-04-02Disclosure

   Public Disclosure

2. 2026-04-02PoC

   Exploit Released

1. 已保留2026-04-01
2. 发布日期2026-04-02
3. EPSS 更新日期2026-04-09

由于供应商没有提供补丁（fix），因此立即的缓解措施是避免使用 1.22 之前的 stb 版本。 如果必须使用 stb，建议实施额外的安全措施，例如对 start_decoder 函数的输入数据进行严格验证。 这包括限制输入数据的大小并验证数据完整性。 此外，密切监控受影响的系统是否存在利用的迹象。 升级到修复后的 stb 版本是最终解决方案，但在该版本可用之前，这些措施可以帮助降低风险。 强烈建议用户和开发人员了解此漏洞并采取必要措施来保护他们的系统。