CVE-2026-34757 in libpng
요약
\~에 의해 VulDB • 2026. 06. 04.
LIBPNG은 PNG(Portable Network Graphics) 래스터 이미지 파일을 읽고, 생성하며 조작하는 애플리케이션에서 사용하기 위한 참조 라이브러리입니다. 버전 1.0.9부터 1.6.57 이전까지의 버전에서는 png_get_PLTE, png_get_tRNS 또는 png_get_hIST로부터 얻은 포인터를 동일한 png_struct/png_info 쌍에 대한 해당 세터(setter)로 다시 전달하면, 세터가 해제된 메모리(freed memory)에서 읽어서 교체 버퍼(contents)로 복사합니다. 이 세터는 호출자가 제공한 포인터(이제 더 이상 유효하지 않은 덩글링 포인터가 됨)로부터 복사하기 전에 내부 버퍼를 해제합니다. 해방된 영역에는 낡은 데이터(stale data, 정적 오류 없이 청크 메타데이터를 손상시킬 수 있음)나 후속 힙 할당에서 온 데이터(관련 없는 힙 내용이 청크 구조체로 누출될 수 있음)가 포함될 수 있습니다. 이 취약점은 1.6.57에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.