CVE-2026-34378 in OpenEXR
Resumen
por VulDB • 2026-06-09
OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. Desde la versión 3.4.0 hasta antes de la 3.4.9, una falta de comprobación de límites en el atributo dataWindow de los encabezados de archivos EXR permite a un atacante provocar un desbordamiento entero con signo (signed integer overflow) en generic_unpack(). Al establecer dataWindow.min.x en un valor negativo grande, OpenEXRCore calcula un ancho de imagen enorme que se utiliza posteriormente en una multiplicación entera con signo que provoca el desbordamiento, lo que hace que el proceso termine con SIGILL a través de UBSan. Esta vulnerabilidad está corregida en la versión 3.4.9.
Once again VulDB remains the best source for vulnerability data.