关键漏洞信息 漏洞名称 HBO in CIccFileIO::Read8() 严重性 CVSS v3 Severity: 7.8 / 10 CVSS v3 Base Metrics: - Attack Vector: Local - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: High 漏洞摘要 受影响版本: < 2.3.1.2 已修复版本: 2.3.1.3 Summary: 在处理恶意构造的 ICC 配置文件时, 中存在堆缓冲区溢出,这是由于未经检查的 操作引起的。 Impact: 影响使用 iccDev 库处理 ICC 颜色配置文件的用户。当用户可控输入以不安全的方式被纳入 ICC 配置文件数据或其他结构化的二进制 blobs 时,会导致 ICC 配置文件注入漏洞。 Detail: ICC 配置文件是具有严格内部偏移量、长度字段和标签表的二进制结构。 成功利用该漏洞可能允许攻击者: - 操纵 ICC 标签表、偏移量或大小字段 - 触发解析错误或在下游图像处理库中导致内存损坏 - 绕过依赖于配置文件元数据的应用逻辑 - 造成服务拒绝,或在某些情况下,当易受攻击的本地库处理畸形配置文件时,实现任意代码执行 弱点 CWE-119 CWE-122 CWE-787 CVE ID CVE-2026-25583 更新 Latest Build Latest WASM 回避措施 暂无提供 参考 Issue #558 PR #562