الثغرات ›

CVE-2026-24409

مرتفع ⚡ اختراق متاح

CWE-20 — نوع الضعف

                    نُشر: Jan 24, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

iccDEV provides libraries and tools for interacting with, manipulating, and applying ICC color management profiles. Versions 2.3.1.1 and below have Undefined Behavior and Null Pointer Deference in CIccTagXmlFloatNum<>::ParseXml(). This occurs when user-controllable input is unsafely incorporated into ICC profile data or other structured binary blobs. Successful exploitation may allow an attacker to perform DoS, manipulate data, bypass application logic and Code Execution. This issue has been fixed in version 2.3.1.2.

🤖 ملخص AI

iccDEV library versions 2.3.1.1 and below contain undefined behavior and null pointer dereference vulnerabilities in XML parsing functions that process ICC color profiles. Exploitation could enable denial of service, data manipulation, logic bypass, or remote code execution through malicious ICC profile files.

📄 الوصف (العربية)

تحتوي مكتبة iccDEV على ثغرات في دالة ParseXml() حيث يتم معالجة بيانات المدخلات التي يتحكم بها المستخدم بشكل غير آمن. يمكن للمهاجمين استخدام ملفات ICC ضارة لتحقيق رفض الخدمة أو تنفيذ أكواد بعيدة على الأنظمة المتأثرة.

🤖 ملخص تنفيذي (AI)

مكتبة iccDEV الإصدارات 2.3.1.1 وأقل تحتوي على سلوك غير محدد وثغرات إلغاء الإشارة الفارغة في وظائف تحليل XML. يمكن للمهاجمين استغلال هذه الثغرات من خلال ملفات ICC ضارة لتنفيذ هجمات الحرمان من الخدمة أو تنفيذ أكواد بعيدة.

🤖 التحليل الذكي آخر تحليل: May 9, 2026 22:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1203 T1499

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade iccDEV library to version 2.3.1.2 or later immediately. Implement input validation for ICC profile files before processing. Deploy network-based controls to restrict ICC profile uploads from untrusted sources. Monitor applications using iccDEV for unexpected crashes or suspicious behavior.

🔧 خطوات المعالجة (العربية)

قم بترقية مكتبة iccDEV إلى الإصدار 2.3.1.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات لملفات ICC قبل المعالجة. استخدم عناصر تحكم قائمة على الشبكة لتقييد تحميل ملفات ICC من مصادر غير موثوقة. راقب التطبيقات التي تستخدم iccDEV للكشف عن الأعطال غير المتوقعة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1

🔵 SAMA CSF

ID.BE-5 PR.DS-1 PR.DS-6

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/InternationalColorConsortium/iccDEV/commit/9f134c44895edd2edca4bcb97...

security-advisories@github.com

Patch

🔗

https://github.com/InternationalColorConsortium/iccDEV/issues/484

security-advisories@github.com

Exploit Issue Tracking

🔗

https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA-398v-jv...

security-advisories@github.com

Patch Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

color:iccdev

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-20

EPSS0.13%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-24

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available patch-available CWE-20

🏢 توجيهات البائع

🔗 https://github.com/InternationalColorConsortium/iccD...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-24409

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب