CVE-2026-34757 in libpng
الملخص
بحسب VulDB • 05/06/2026
تُعد مكتبة LIBPNG مكتبة مرجعية تُستخدم في التطبيقات التي تقوم بقراءة وإنشاء وتعديل ملفات الصور النقطية بتنسيق PNG (الرسوميات الشبكية المحمولة). بدءًا من الإصدار 1.0.9 وحتى ما قبل الإصدار 1.6.57، يؤدي تمرير مؤشر تم الحصول عليه عبر الدوال `png_get_PLTE` أو `png_get_tRNS` أو `png_get_hIST` مرة أخرى إلى دالة التعديل (setter) المقابلة لها ضمن زوج نفس الكائنات `png_struct/png_info` إلى قيام دالة التعديل بقراءة بيانات من ذاكرة مُفرغة (freed memory) ونسخ محتوياتها إلى مخزن الاستبدال. تقوم دالة التعديل بإفراغ المخزن الداخلي قبل نسخ البيانات من المؤشر الذي قدمه المستخدم، والذي أصبح الآن مؤشرًا معلقًا (dangling pointer). قد تحتوي المنطقة المُفرغة على بيانات قديمة (مما يؤدي إلى تلف صامت في بيانات تعريف القطع - chunk metadata) أو بيانات ناتجة عن عمليات تخصيص ذاكرة هيب لاحقة (مسربةً محتويات الهيب غير ذات الصلة داخل بنية القطعة). تم إصلاح هذا الثغرة الأمنية في الإصدار 1.6.57.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.