Katalog CVE

CVE-2026-53432

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W narzędziu fzf wykryto podatność na przepełnienie liczb całkowitych w funkcji FuzzyMatchV2. Gdy długość linii wejściowej wynosi około 2 200 000 bajtów, a długość wzorca 999 bajtów, dochodzi do przepełnienia, co powoduje nieprawidłowe granice wycinka. Środowisko uruchomieniowe Go wykrywa błąd i natychmiast kończy proces z nieodwracalną paniką.

Ocena ryzyka

Atakujący może celowo dostarczyć złośliwe dane wejściowe, powodując awarię aplikacji korzystającej z fzf, co prowadzi do odmowy usługi (DoS). Podatność może być wykorzystana zdalnie, jeśli aplikacja przetwarza dane od użytkownika.

Rekomendacja

Należy niezwłocznie zaktualizować fzf do wersji 0.73.1 lub nowszej, która zawiera poprawkę. Jeśli aktualizacja nie jest możliwa, należy ograniczyć długość przetwarzanych linii wejściowych i wzorców.

Oryginalny opis (angielski, źródło NVD)

fzf is vulnerable to Integer Overflow leading to crash in FuzzyMatchV2 function. When input line length is approximately 2,200,000 bytes and pattern length is 999 bytes, the product overflows. The Go runtime detects the invalid slice bounds and terminates the process immediately with a non-recoverable panic. This issue was fixed in version 0.73.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS