CVE-2026-45785 in OpenMcdf情報

要約

〜によって VulDB • 2026年07月17日

OpenMcdfは、Compound File Binary Format(CFB)ファイル、別名Structured Storageファイルを操作するための完全な.NET/C#ライブラリです。バージョン3.1.3およびそれ以前では、DirectoryTree.TryGetDirectoryEntry (OpenMcdf/DirectoryTree.cs:35-46)内のBST名前解決ループが、directories.TryGetSibling(child, siblingType, validateColor)を繰り返し呼び出すことでディレクトリエントリを走査します。TryGetSibling内でのステップごとのBST順序チェック(DirectoryEntries.cs:84-85)が各ステップで満たされるように構築された、ディレクトリエントリ間に循環するLeft/Right兄弟リンクを持つ悪意のあるCFBファイルを処理すると、このwhile (child is not null)ループは無限に実行されます。TryGetDirectoryEntryにはサイクル検出がなく、RootStorage.OpenStorage(name)、TryOpenStorage(name)、OpenStream(name)、およびTryOpenStream(name)からバグが到達可能であるため、回復不能なサービス拒否(DoS)を引き起こします。この問題はバージョン3.1.4で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年05月13日

モデレーション

承諾済み

エントリ

VDB-379979

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!