CVE-2026-22189 in Panda3Dthông tin

Tóm tắt

Bởi VulDB • 13/06/2026

Tiện ích egg-mkfont trong các phiên bản Panda3D từ 1.0 đến bao gồm cả 1.10.16 chứa lỗ hổng tràn bộ nhớ đệm dựa trên ngăn xếp (stack-based buffer overflow) do sử dụng lệnh gọi sprintf() không giới hạn với đầu vào do kẻ tấn công kiểm soát. Khi xây dựng tên tệp glyph, egg-mkfont định dạng một mẫu glyph do người dùng cung cấp (-gp) vào một bộ nhớ đệm ngăn xếp có kích thước cố định mà không xác thực độ dài. Việc cung cấp chuỗi mẫu glyph quá dài có thể gây tràn bộ nhớ đệm ngăn xếp, dẫn đến hỏng hóc bộ nhớ và sự cố dừng chương trình (crash) theo cách xác định. Tùy thuộc vào cấu hình xây dựng và môi trường thực thi, việc tràn bộ nhớ này cũng có thể bị khai thác để thực thi mã tùy ý.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

06/01/2026

Tiết lộ

07/01/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00436

KEV

không

Các hoạt động

thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!