Katalog CVE

CVE-2026-49495

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Ghidra w wersji 10.2 przed 12.1 zawiera podatność na niekontrolowane zużycie zasobów w funkcji ExportTrie.parseTrie(). Brak detekcji cykli podczas przetwarzania binarnych plików Mach-O prowadzi do nieograniczonego wzrostu kolejki i wykładniczej konkatenacji łańcuchów.

Ocena ryzyka

Podatność ta może prowadzić do błędu OutOfMemoryError, co skutkuje awarią całej JVM i utratą niezapisanej pracy użytkownika. Organizacje mogą stracić cenne dane i czas w przypadku wystąpienia tego błędu.

Rekomendacja

Zaleca się aktualizację Ghidra do wersji 12.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać przetwarzanie potencjalnie złośliwych plików Mach-O.

Oryginalny opis (angielski, źródło NVD)

Ghidra 10.2 before 12.1 contains an uncontrolled resource consumption vulnerability in ExportTrie.parseTrie() that lacks cycle detection when traversing Mach-O binary export tries. A crafted Mach-O binary with circular references in the export trie causes unbounded queue growth and exponential string concatenation, triggering OutOfMemoryError that crashes the entire JVM and loses all unsaved work.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS