一、 漏洞 CVE-2026-0943 基础信息
漏洞信息
# HarfBuzz::Shaper 0.032 之前空指针漏洞
## 概述
HarfBuzz::Shaper for Perl 在 0.032 版本之前存在一个因捆绑库导致的空指针解引用漏洞。
## 影响版本
0.032 之前的版本,包含 HarfBuzz 8.4.0 或更早版本(捆绑于 hb_src.tar.gz 中)。
## 细节
漏洞源于源代码包中捆绑的 HarfBuzz 库(hb_src.tar.gz),该库版本为 8.4.0 或更早,受 CVE-2026-22693 影响,存在空指针解引用问题。
## 影响
攻击者可能利用该漏洞导致程序崩溃,引发拒绝服务(DoS)。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
HarfBuzz::Shaper versions before 0.032 for Perl contains a bundled library with a null pointer dereference vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
HarfBuzz::Shaper versions before 0.032 for Perl contains a bundled library with a null pointer dereference vulnerability. Versions before 0.032 contain HarfBuzz 8.4.0 or earlier bundled as hb_src.tar.gz in the source tarball, which is affected by CVE-2026-22693.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-0943 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-0943 的情报信息
标题: CVE Record: CVE-2026-22693 -- 🔗来源链接
标签:
神龙速读:## 关键漏洞信息 - **CVE ID**: CVE-2026-22693 - **发布时间**: 2026-01-10 - **更新时间**: 2026-01-10 - **漏洞标题**: Null Pointer Dereference in SubtableUnicodesCache::create leading to DoS ### 描述 HarfBuzz是一个文本成形引擎。在12.3.0版本之前的版本中,存在一个空指针解引用漏洞,位于src/hb-ot-cmap-table.hh文件中的SubtableUnicodesCache::create函数中。该函数在使用placement new构造对象之前,未能检查hb_malloc是否返回NULL。当hb_malloc分配内存失败时(这可能发生在低内存条件下或使用模拟分配失败的自定义分配器时),它返回NULL。代码随后尝试在空指针上使用placement new语法调用构造函数,导致未定义的行为和分段错误。此问题已在12.3.0版本中修复。 ### CWE - CWE-476: NULL Pointer Dereference ### CVSS - **评分**: 5.3 - **严重性**: 中等 - ** versions**: 3.1 - **向量字符串**: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L ### 产品状态 - **厂商**: harfbuzz - **产品**: harfbuzz - **受影响版本**: < 12.3.0 ### 参考 1. [GitHub安全咨询](https://github.com/harfbuzz/harfbuzz/security/advisories/GHSA-xvjr-f2r9-c7ww) 2. [GitHub提交记录](https://github.com/harfbuzz/harfbuzz/commit/1265ff8d990284f04d8768f35b0e20ae5f60daae) ### CVE程序更新 - **更新时间**: 2026-01-12 - **参考** - [Openwall安全邮件列表1](http://www.openwall.com/lists/oss-security/2026/01/11/1) - [Openwall安全邮件列表2](http://www.openwall.com/lists/oss-security/2026/01/12/1)
- https://metacpan.org/release/JV/HarfBuzz-Shaper-0.032/changesrelease-notes
标题: 2429296 – CVE-2026-22693 perl-HarfBuzz-Shaper: Null Pointer Dereference in harfbuzz [fedora-43] -- 🔗来源链接
标签:issue-tracking
神龙速读:### 关键漏洞信息 - **漏洞ID**: Bug 2429296 - CVE-2020-22693 - **漏洞描述**: perl-HarfBuzz-Shaper: Null Pointer Dereference in harfbuzz [fedora-43] - **报告时间**: 2026-01-13 19:13 UTC - **状态**: ON_QA - **产品**: Fedora - **组件**: perl-HarfBuzz-Shaper - **版本**: 43 - **严重性**: medium - **优先级**: medium - **依赖于**: CVE-2020-22693 ### 更新信息 - **Fedora 42 更新**: FEDORA-2026-55dfa04750 (perl-HarfBuzz-Shaper-0.032-1.fc42) 已提交作为更新 - [更新链接](https://bodhi.fedoraproject.org/updates/FEDORA-2026-55dfa04750) - **Fedora 43 更新**: FEDORA-2026-c7954c45b7 (perl-HarfBuzz-Shaper-0.032-2.fc43) 已提交作为更新 - [更新链接](https://bodhi.fedoraproject.org/updates/FEDORA-2026-c7954c45b7) ### 其他信息 - 更新已推送到Fedora 43和Fedora 42的测试存储库。 - 可以通过以下命令安装更新: - Fedora 43: `sudo dnf upgrade --enablerepo=updates-testing --refresh --advisory=FEDORA-2026-c7954c45b7` - Fedora 42: `sudo dnf upgrade --enablerepo=updates-testing --refresh --advisory=FEDORA-2026-55dfa04750` - 反馈链接: - [Fedora 43](https://bodhi.fedoraproject.org/updates/FEDORA-2026-c7954c45b7) - [Fedora 42](https://bodhi.fedoraproject.org/updates/FEDORA-2026-55dfa04750)![2429296 – CVE-2026-22693 perl-HarfBuzz-Shaper: Null Pointer Dereference in harfbuzz [fedora-43]](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-59-13.026Z-8600eef29ccb45fbe47b.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2026-0943
四、漏洞 CVE-2026-0943 的评论
暂无评论