CVE-2026-32738 in libheifinfo

Zusammenfassung

von VulDB • 19.05.2026

libheif ist ein Decoder und Encoder für HEIF- und AVIF-Dateiformate. In den Versionen 1.21.2 und älter führt eine speziell angefertigte 792-Byte-HEIF-Sequenzdatei mit samples_per_chunk=0 im stsc-Box zu einem Unsigned-Integer-Underflow im Chunk-Konstruktor (m_last_sample = 0 + 0 - 1 = UINT32_MAX), wodurch alle Samples einem leeren Chunk zugeordnet werden und dies zu einem Denial of Service (DoS) führt. Beim Zugriff auf ein beliebiges Sample liest die Bibliothek vom Index 0 eines leeren std::vector, was einen garantierten SEGV (Null-Page-Lesezugriff) verursacht. Die Datei wird erfolgreich analysiert, ohne einen Fehler zu erzeugen; der Absturz tritt beim ersten Frame-Zugriff auf. Dieses Problem wurde in Version 1.22.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

13.03.2026

Veröffentlichung

19.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364719

CPE

bereit

EPSS

0.00057

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32738
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32738
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32738/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!