CVE-2026-34380 Openexr — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,9 (MEDIUM)
Уязвимые версии	3.2.0 — 3.4.9
Устранено в версии	3.2.7
Тип уязвимости	CWE-787 (Запись за пределами буфера), CWE-190 (Целочисленное переполнение)
Поставщик	Openexr
Публичный эксплойт	Нет

OpenEXR предоставляет спецификацию и эталонную реализацию формата файлов EXR, формата хранения изображений для киноиндустрии. Начиная с версий 3.2.0 и до версий 3.2.7, 3.3.9 и 3.4.9, в undo_pxr24_impl() существует переполнение целого числа со знаком в src/lib/OpenEXRCore/internal_pxr24.c в строке 377. Выражение (uint64_t)(w * 3) вычисляет w * 3 как 32-битное целое число со знаком перед приведением к uint64_t.

Когда w велико, это умножение представляет собой неопределенное поведение согласно стандарту C. В протестированных сборках (clang/gcc без дезинфицирующих средств) обычно происходит циклическое преобразование с двумя дополнениями, а для определенных значений w обернутый результат представляет собой небольшое положительное целое число, что может привести к неправильному прохождению последующей проверки границ. Если проверка пропущена, цикл декодирования переходит к записи данных пикселей через dout, потенциально выходя далеко за пределы выделенного выходного буфера.

Эта уязвимость исправлена в версиях 3.2.7, 3.3.9 и 3.4.9.

Показать оригинальное описание (EN)

OpenEXR provides the specification and reference implementation of the EXR file format, an image storage format for the motion picture industry. From 3.2.0 to before 3.2.7, 3.3.9, and 3.4.9, a signed integer overflow exists in undo_pxr24_impl() in src/lib/OpenEXRCore/internal_pxr24.c at line 377. The expression (uint64_t)(w * 3) computes w * 3 as a signed 32-bit integer before casting to uint64_t. When w is large, this multiplication constitutes undefined behavior under the C standard. On tested builds (clang/gcc without sanitizers), two's-complement wraparound commonly occurs, and for specific values of w the wrapped result is a small positive integer, which may allow the subsequent bounds check to pass incorrectly. If the check is bypassed, the decoding loop proceeds to write pixel data through dout, potentially extending far beyond the allocated output buffer. This vulnerability is fixed in 3.2.7, 3.3.9, and 3.4.9.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Высокая

Сложно эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Низкое

Частичная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-787 Out-of-bounds Write (Запись за пределами буфера)

CWE-190 Integer Overflow (Целочисленное переполнение)

Уязвимые продукты 3

Конфигурация	От (включительно)	До (исключительно)
Openexr Openexr cpe:2.3:a:openexr:openexr::::::::	`3.2.0`	`3.2.7`
Openexr Openexr cpe:2.3:a:openexr:openexr::::::::	`3.3.0`	`3.3.9`
Openexr Openexr cpe:2.3:a:openexr:openexr::::::::	`3.4.0`	`3.4.9`