CVE-2026-1764
ŚrednieCVSS 5.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W GNOME localsearch (wcześniej znanym jako tracker-miners) MP3 Extractor znaleziono lukę. Podczas przetwarzania specjalnie przygotowanych plików MP3 z tagami ID3v2.4, brak kontroli granic w funkcji `extract_performers_tags` może prowadzić do przepełnienia bufora na stercie.
Ocena ryzyka
Ta podatność umożliwia zdalnemu atakującemu wywołanie Denial of Service (DoS) poprzez odczyt nieprzypisanej pamięci. W niektórych przypadkach może również prowadzić do ujawnienia informacji przez odczyt widocznych danych na stercie.
Rekomendacja
Zaleca się aktualizację GNOME localsearch do najnowszej wersji, aby usunąć tę lukę. Należy również monitorować systemy pod kątem nieautoryzowanych prób dostępu.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in GNOME localsearch (previously known as tracker-miners) MP3 Extractor. When processing specially crafted MP3 files containing ID3v2.4 tags, a missing bounds check in the `extract_performers_tags` function can lead to a heap buffer overflow. This vulnerability allows a remote attacker to cause a Denial of Service (DoS) by triggering a read of unmapped memory. In some cases, it could also lead to information disclosure by reading visible heap data.

