CVE-2026-53702
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W bibliotece parsera kodeka H.265 GStreamer (gst-plugins-bad) odkryto błąd przepełnienia bufora stosu. Błąd ten występuje podczas analizy wiadomości SEI dotyczącej okresu buforowania, gdzie używana jest nieprawidłowa granica pętli, co może prowadzić do zapisu poza przydzielonymi granicami pamięci stosu.
Ocena ryzyka
W wyniku tej podatności, złośliwie skonstruowany plik wideo H.265 może spowodować awarię aplikacji lub potencjalne uszkodzenie pamięci stosu, co stwarza ryzyko dla stabilności systemu.
Rekomendacja
Zaleca się aktualizację biblioteki GStreamer do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie aplikacji korzystających z tego kodeka w celu wykrycia potencjalnych ataków.
Oryginalny opis (angielski, źródło NVD)
A stack buffer overflow flaw was found in the GStreamer H.265 codec parser library (gst-plugins-bad). When parsing a buffering period SEI message, the parser uses an incorrect loop bound derived from cpb_cnt_minus1[i] (the loop index) instead of the sub-layer 0 CPB count cpb_cnt_minus1[0] from the referenced Sequence Parameter Set. A crafted H.265 video file or stream can cause the parser to write beyond the bounds of stack-allocated CPB delay arrays, resulting in a crash or potential stack memory corruption.

