CVE-2026-45785 in OpenMcdfinfo

Zusammenfassung

von VulDB • 18.07.2026

OpenMcdf ist eine vollständige .NET-/C#-Bibliothek zur Manipulation von Dateien im Compound File Binary Format (CFB), auch bekannt als Structured Storage. In den Versionen 3.1.3 und früher durchläuft die BST-Namenssuchschleife in DirectoryTree.TryGetDirectoryEntry (OpenMcdf/DirectoryTree.cs:35-46) Verzeichniseinträge, indem sie wiederholt directories.TryGetSibling(child, siblingType, validateColor) aufruft. Eine speziell angefertigte CFB-Datei mit zyklischen Links zwischen linken/rechten Geschwisterelementen unter den Verzeichniseinträgen, die so konstruiert ist, dass die pro Schritt durchgeführte BST-Reihenfolgeprüfung in TryGetSibling (DirectoryEntries.cs:84-85) bei jedem Schritt erfüllt wird, lässt diese while(child != null)-Schleife endlos laufen. In TryGetDirectoryEntry gibt es keine Zykluserkennung, und der Fehler ist über RootStorage.OpenStorage(name), TryOpenStorage(name), OpenStream(name) sowie TryOpenStream(name) erreichbar, was zu einem nicht wiederherstellbaren Denial of Service (DoS) führt. Dieses Problem wurde in Version 3.1.4 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

13.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379979

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!