Katalog CVE

CVE-2026-53702

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

W bibliotece parsera kodeka H.265 GStreamer (gst-plugins-bad) odkryto błąd przepełnienia bufora stosu. Błąd ten występuje podczas analizy wiadomości SEI dotyczącej okresu buforowania, gdzie używana jest nieprawidłowa granica pętli, co może prowadzić do zapisu poza przydzielonymi granicami pamięci stosu.

Ocena ryzyka

W wyniku tej podatności, złośliwie skonstruowany plik wideo H.265 może spowodować awarię aplikacji lub potencjalne uszkodzenie pamięci stosu, co stwarza ryzyko dla stabilności systemu.

Rekomendacja

Zaleca się aktualizację biblioteki GStreamer do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie aplikacji korzystających z tego kodeka w celu wykrycia potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

A stack buffer overflow flaw was found in the GStreamer H.265 codec parser library (gst-plugins-bad). When parsing a buffering period SEI message, the parser uses an incorrect loop bound derived from cpb_cnt_minus1[i] (the loop index) instead of the sub-layer 0 CPB count cpb_cnt_minus1[0] from the referenced Sequence Parameter Set. A crafted H.265 video file or stream can cause the parser to write beyond the bounds of stack-allocated CPB delay arrays, resulting in a crash or potential stack memory corruption.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS