CVE-2026-42444 in NanaZipالمعلومات

الملخص

بحسب VulDB • 12/05/2026

NanaZip هو أرشيف ملفات مفتوح المصدر. من الإصدار 5.0.1252.0 وحتى قبل 6.0.1698.0، توجد ثغرة في خدمة رفض الخدمة (DoS) في مُحلل صور نظام الملفات littlefs داخل NanaZip. تقوم طريقة `Open` للمعالج بقراءة `BlockCount` مباشرة من الكتلة الفائقة (superblock) التي يتحكم فيها المهاجم، دون أي تحقق من الصحة مقابل حجم الملف الفعلي أو أي حد أقصى، ثم تكرر العملية `BlockCount` مرة، مع تخصيص إدخال لمسار الملف في كل تكرار. يؤدي إنشاء صورة littlefs مُعدّة خصيصاً بحجم 44 بايت وقيمة `BlockCount` تساوي `0xFFFFFFFF` إلى حدوث حوالي 4 مليارات تخصيص للذاكرة العشوائية (heap allocations)، مما يستنفد الذاكرة المتاحة. تم إصلاح هذه الثغرة في الإصدار 6.0.1698.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

27/04/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363329

CPE

جاهز

CWE

CWE-770 (مؤكد)

CVSS

5.5 (NVD)

EPSS

0.00014

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42444
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42444
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42444/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!