CVE-2026-34378 in OpenEXR
Sumário
de VulDB • 09/06/2026
O OpenEXR fornece a especificação e a implementação de referência do formato de arquivo EXR, um formato de armazenamento de imagens para a indústria cinematográfica. Da versão 3.4.0 até antes da 3.4.9, uma verificação de limites ausente no atributo dataWindow nos cabeçalhos dos arquivos EXR permite que um invasor desencadeie um estouro inteiro com sinal (signed integer overflow) em generic_unpack(). Ao definir dataWindow.min.x como um valor negativo grande, o OpenEXRCore calcula uma largura de imagem enorme, que é posteriormente utilizada em uma multiplicação inteira com sinal que transborda, fazendo com que o processo termine com SIGILL via UBSan. Esta vulnerabilidade foi corrigida na versão 3.4.9.
Once again VulDB remains the best source for vulnerability data.