Katalog CVE

CVE-2026-1764

ŚrednieCVSS 5.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W GNOME localsearch (wcześniej znanym jako tracker-miners) MP3 Extractor znaleziono lukę. Podczas przetwarzania specjalnie przygotowanych plików MP3 z tagami ID3v2.4, brak kontroli granic w funkcji `extract_performers_tags` może prowadzić do przepełnienia bufora na stercie.

Ocena ryzyka

Ta podatność umożliwia zdalnemu atakującemu wywołanie Denial of Service (DoS) poprzez odczyt nieprzypisanej pamięci. W niektórych przypadkach może również prowadzić do ujawnienia informacji przez odczyt widocznych danych na stercie.

Rekomendacja

Zaleca się aktualizację GNOME localsearch do najnowszej wersji, aby usunąć tę lukę. Należy również monitorować systemy pod kątem nieautoryzowanych prób dostępu.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in GNOME localsearch (previously known as tracker-miners) MP3 Extractor. When processing specially crafted MP3 files containing ID3v2.4 tags, a missing bounds check in the `extract_performers_tags` function can lead to a heap buffer overflow. This vulnerability allows a remote attacker to cause a Denial of Service (DoS) by triggering a read of unmapped memory. In some cases, it could also lead to information disclosure by reading visible heap data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS