CVE-2026-42444 in NanaZip
요약
\~에 의해 VulDB • 2026. 05. 16.
NanaZip는 오픈 소스 파일 압축 도구입니다. 버전 5.0.1252.0부터 6.0.1698.0 미만 버전까지 NanaZip의 littlefs 파일 시스템 이미지 파서에서 서비스 거부(Denial-of-Service) 취약점이 존재합니다. 핸들러의 Open 메서드는 실제 파일 크기나 상한선(upper-bound ceiling)에 대한 검증 없이 공격자가 제어할 수 있는 슈퍼블록(superblock)에서 BlockCount를 직접 읽은 후, BlockCount 횟수만큼 반복하며 각 반복마다 파일 경로 항목을 할당합니다. BlockCount가 0xFFFFFFFF인 악의적으로 제작된 44바이트 littlefs 이미지(~40억 번의 힙 할당)는 사용 가능한 메모리를 고갈시킵니다. 이 취약점은 6.0.1698.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.