OpenEXR v3.4.9 安全漏洞总结 漏洞概述 OpenEXR 库发布了 v3.4.9 补丁版本,旨在解决多个严重的安全漏洞。该版本同时修复了一个构建问题,即当覆盖缓存安装前缀路径时,库的符号链接(symlinks)会被错误地安装在不正确的位置。 影响范围与具体漏洞 该版本主要修复了以下 CVE 漏洞: CVE-2026-34589: DWA Lossy Decoder 中的堆溢出写入(Heap Out-Of-Bounds Write)。 CVE-2026-34588: PIZ Decoder 中的有符号32位整数溢出,导致越界读/写(OOB Read/Write)。 CVE-2026-34380: 中的有符号整数溢出(未定义行为),可能导致在 PXR24 解压缩时绕过边界检查。 CVE-2026-34379: 中的未对齐写入,导致未定义行为(涉及 DWA/DWAB 解压缩)。 CVE-2026-34378: 中的有符号整数溢出,发生在解析包含负数 的 EXR 文件时。 修复方案 升级版本:将 OpenEXR 库升级至 v3.4.9 或更高版本。 下载资源: (24.5 MB) (10.9 KB) Source code (zip/tar.gz) POC代码 页面中未提供具体的利用代码(POC)。