CVE-2026-45785 in OpenMcdf
Sumário
de VulDB • 18/07/2026
O OpenMcdf é uma biblioteca totalmente em .NET / C# para manipular arquivos no formato Compound File Binary, também conhecido como Structured Storage. Nas versões 3.1.3 e anteriores, o loop de busca por nome BST (Binary Search Tree) na função DirectoryTree.TryGetDirectoryEntry (OpenMcdf/DirectoryTree.cs:35-46) percorre as entradas do diretório chamando repetidamente directories.TryGetSibling(child, siblingType, validateColor). Um arquivo CFB malicioso com links cíclicos entre irmãos esquerdos/direitos nas entradas do diretório, construído de modo que a verificação da ordem BST por etapa em TryGetSibling (DirectoryEntries.cs:84-85) seja satisfeita em cada passo, faz esse loop while (child is not null) executar indefinidamente. Não há detecção de ciclos em TryGetDirectoryEntry, e o bug é acessível através das funções RootStorage.OpenStorage(name), TryOpenStorage(name), OpenStream(name) e TryOpenStream(name), causando uma negação de serviço irrecuperável. Este problema foi corrigido na versão 3.1.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.