CVE-2026-45785 in OpenMcdfinformazioni

Riassunto

di VulDB • 17/07/2026

OpenMcdf è una libreria completamente .NET / C# per manipolare file nel formato Compound File Binary, noti anche come Structured Storage. Nelle versioni 3.1.3 e precedenti, il ciclo di ricerca del nome BST in DirectoryTree.TryGetDirectoryEntry (OpenMcdf/DirectoryTree.cs:35-46) attraversa le voci della directory chiamando ripetutamente directories.TryGetSibling(child, siblingType, validateColor). Un file CFB costruito ad hoc con collegamenti Left/Right tra fratelli ciclici tra le voci della directory, progettato in modo che il controllo BST-order per ogni passaggio in TryGetSibling (DirectoryEntries.cs:84-85) sia soddisfatto a ogni step, fa sì che questo ciclo while (child is not null) venga eseguito all'infinito. Non esiste alcun rilevamento di cicli in TryGetDirectoryEntry e il bug è raggiungibile da RootStorage.OpenStorage(name), TryOpenStorage(name), OpenStream(name) e TryOpenStream(name), causando un denial of service irrecuperabile. Questo problema è stato risolto nella versione 3.1.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

13/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!