CVE-2026-24407

iccDEV has Undefined Behavior in icSigCalcOp()

CVSS 7.1 HIGHEPSS 0.4%CWE-20 CWE-758

En resumen

iccDEV, una biblioteca de gestión de color, tiene una falla en cómo procesa datos de entrada al manipular perfiles ICC. Un atacante puede crear un perfil malicioso para bloquear la aplicación, corromper datos o ejecutar código.

Detalle técnico

Comportamiento indefinido en la función icSigCalcOp() ocurre cuando entrada no confiable del usuario se incorpora de forma insegura en estructuras de perfil ICC sin validación apropiada (CWE-20). Esto puede resultar en acceso fuera de límites, desbordamiento de enteros o corrupción de memoria, permitiendo denegación de servicio, manipulación de datos, bypass de lógica y ejecución arbitraria de código.

Resumen generado y traducido por IA a partir de la descripción oficial.

iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. Versions 2.3.1.1 and below have Undefined Behavior in icSigCalcOp(). This occurs when user-controllable input is unsafely incorporated into ICC profile data or other structured binary blobs. Successful exploitation may allow an attacker to perform DoS, manipulate data, bypass application logic and Code Execution. This issue has been fixed in version 2.3.1.2.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Productos afectados

InternationalColorConsortium · iccDEV

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/InternationalColorConsortium/iccDEV/commit/881802931a71c4b0dfc28bc80ee55b2cb84dab90 https://github.com/InternationalColorConsortium/iccDEV/issues/481 https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-m6gx-93cp-4855