الثغرات ›

CVE-2026-24404

مرتفع ⚡ اختراق متاح

CWE-20 — نوع الضعف

                    نُشر: Jan 24, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. In versions 2.3.1.1 and below, CIccXmlArrayType() contains a Null Pointer Dereference and Undefined Behavior vulnerability. This occurs when user-controllable input is unsafely incorporated into ICC profile data or other structured binary blobs. Successful exploitation may allow an attacker to perform DoS, manipulate data, bypass application logic and Code Execution. This issue has been fixed in version 2.3.1.2.

🤖 ملخص AI

CVE-2026-24404 is a null pointer dereference vulnerability in iccDEV library versions 2.3.1.1 and below that can be exploited through malicious ICC color profiles to cause denial of service or execute arbitrary code. Organizations using affected versions should immediately upgrade to version 2.3.1.2 or later.

📄 الوصف (العربية)

تحتوي مكتبة iccDEV على ثغرة إلغاء مؤشر فارغ في دالة CIccXmlArrayType() تحدث عند معالجة مدخلات يتحكم بها المستخدم في بيانات ملفات ICC. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ هجمات الحرمان من الخدمة أو تنفيذ أكواد ضارة أو التلاعب بالبيانات.

🤖 ملخص تنفيذي (AI)

ثغرة إلغاء مؤشر فارغ في مكتبة iccDEV الإصدارات 2.3.1.1 وما دونها قد تسمح بهجمات الحرمان من الخدمة أو تنفيذ أكواد ضارة عند معالجة ملفات ICC ضارة. يجب على المنظمات تحديث المكتبة إلى الإصدار 2.3.1.2 أو أحدث فوراً.

🤖 التحليل الذكي آخر تحليل: May 9, 2026 22:20

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1203 T1499

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade iccDEV library to version 2.3.1.2 or later immediately. Validate and sanitize all user-supplied ICC profile inputs before processing. Implement input validation to reject malformed ICC profiles. Apply principle of least privilege to applications using iccDEV. Monitor for suspicious ICC profile processing activities.

🔧 خطوات المعالجة (العربية)

قم بترقية مكتبة iccDEV إلى الإصدار 2.3.1.2 أو أحدث فوراً. تحقق من صحة جميع مدخلات ملفات ICC المزودة من المستخدمين قبل معالجتها. طبق التحقق من المدخلات لرفض ملفات ICC المشوهة. طبق مبدأ أقل صلاحية على التطبيقات التي تستخدم iccDEV. راقب الأنشطة المريبة في معالجة ملفات ICC.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.1.1.1 A.2.1.1 A.2.2.1

🔵 SAMA CSF

ID.RA-1 PR.IP-1 PR.IP-12

🟡 ISO 27001:2022

A.12.6.1 A.14.1.1 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/InternationalColorConsortium/iccDEV/commit/cd637eb33f0c8055fa54d8776...

security-advisories@github.com

Patch

🔗

https://github.com/InternationalColorConsortium/iccDEV/issues/488

security-advisories@github.com

Exploit Issue Tracking

🔗

https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-hqfg-45...

security-advisories@github.com

Patch Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

color:iccdev

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-20

EPSS0.13%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-24

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available patch-available CWE-20

🏢 توجيهات البائع

🔗 https://github.com/InternationalColorConsortium/iccD...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-24404

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب