CVE-2026-21485

iccDEV Undefined Behavior (UB) and Out of Memory in CIccProfile::LoadTag()

CVSS 8.8 HIGHEPSS 0.3%CWE-125 CWE-1284 CWE-190 CWE-20 CWE-400 CWE-476 CWE-787

En resumen

La biblioteca iccDEV para perfiles de color en versiones 2.3.1.1 y anteriores tiene defectos en la manipulación de memoria que pueden causar bloqueos o comportamientos impredecibles al procesar archivos de perfil ICC malformados. Estas vulnerabilidades pueden ser explotadas por atacantes que distribuyen archivos de perfil de color especialmente diseñados.

Detalle técnico

La función CIccProfile::LoadTag() en iccDEV ≤2.3.1.1 contiene lectura fuera de límites (CWE-125) y desbordamiento de enteros (CWE-190) provocando comportamiento indefinido y agotamiento de memoria. El vector de ataque implica proporcionar archivos ICC maliciosos; sin autenticación requerida. El impacto incluye denegación de servicio y posible divulgación de información.

Resumen generado y traducido por IA a partir de la descripción oficial.

iccDEV provides a set of libraries and tools for working with ICC color management profiles. Versions 2.3.1.1 and below are prone to have Undefined Behavior (UB) and Out of Memory errors. This issue is fixed in version 2.3.1.2.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

InternationalColorConsortium · iccDEV

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/InternationalColorConsortium/iccDEV/commit/c136aac51d25cbb4d9db63f071edad4f088843df https://github.com/InternationalColorConsortium/iccDEV/issues/340 https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-chp2-4gv5-2432