CVE-2026-13523
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.
Ocena ryzyka
Organizacja narażona jest na ataki lokalne, które mogą prowadzić do przeciążenia systemu lub wyczerpania zasobów poprzez nadmierną dekompresję danych. Brak łatki umożliwia potencjalne zakłócenie działania aplikacji korzystających z GPAC.
Rekomendacja
Należy niezwłocznie zastosować łatkę oznaczoną jako 297f2d8d1f493d8b241330533cd47f7da758aeb3, która dodaje sprawdzenie rozmiaru wyjścia inflate (maksymalnie 32-krotność wejścia). Aktualizacja do najnowszej wersji GPAC jest zalecana.
Oryginalny opis (angielski, źródło NVD)
A weakness has been identified in GPAC up to 26.02.0. This affects an unknown part of the file src/utils/base_encoding.c of the component ISOBMFF Parser. Executing a manipulation can lead to highly compressed data. The attack needs to be launched locally. The exploit has been made available to the public and could be used for attacks. This patch is called 297f2d8d1f493d8b241330533cd47f7da758aeb3. A patch should be applied to remediate this issue. The vendor confirms: "We added a check on inflate output size, if it surpasses 32 times the input size we stop in error. This value could be adjusted later."

