الثغرات ›

CVE-2026-43904

مرتفع ⚡ اختراق متاح

CWE-787 — نوع الضعف

                    نُشر: May 14, 2026                      ·  آخر تحديث: May 21, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenImageIO is a toolset for reading, writing, and manipulating image files of any image file format relevant to VFX / animation. Prior to 3.0.18.0 and 3.1.13.0, softimageinput.cpp:469 (mixed RLE) and :345 (pure RLE) do not clamp the run length to remaining scanline width before writing pixels. The raw packet path (line 403) correctly clamps with std::min, but RLE paths skip this check. A crafted .pic file causes heap overflow up to 65535 bytes. This vulnerability is fixed in 3.0.18.0 and 3.1.13.0.

🤖 ملخص AI

OpenImageIO versions before 3.0.18.0 and 3.1.13.0 contain a heap buffer overflow vulnerability in PIC file parsing due to unclamped RLE run lengths. Attackers can exploit crafted .pic files to cause heap overflow of up to 65535 bytes, potentially leading to code execution or denial of service.

📄 الوصف (العربية)

تحتوي ملفات softimageinput.cpp في OpenImageIO على عيب في معالجة مسارات RLE المختلطة والنقية حيث لا يتم تقييد طول التشغيل بعرض خط المسح المتبقي. يؤدي هذا إلى تجاوز heap يصل إلى 65535 بايت عند معالجة ملفات .pic المصنعة بشكل خاص.

🤖 ملخص تنفيذي (AI)

إصدارات OpenImageIO السابقة للإصدار 3.0.18.0 و 3.1.13.0 تحتوي على ثغرة تجاوز ذاكرة heap في معالجة ملفات PIC بسبب عدم تقييد طول تشغيل RLE. يمكن للمهاجمين استغلال ملفات .pic المصنعة لإحداث تجاوز heap يصل إلى 65535 بايت.

🤖 التحليل الذكي آخر تحليل: May 20, 2026 05:48

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government healthcare energy

🎯 تقنيات MITRE ATT&CK

T1203 T1190 T1499

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenImageIO to version 3.0.18.0 or 3.1.13.0 or later immediately. Implement input validation and file type restrictions for .pic files. Restrict file upload capabilities and disable PIC file processing if not required. Monitor systems for suspicious .pic file handling and implement network-based file filtering.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenImageIO إلى الإصدار 3.0.18.0 أو 3.1.13.0 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتقييد أنواع ملفات .pic. قيد قدرات تحميل الملفات وعطل معالجة ملفات PIC إذا لم تكن مطلوبة. راقب الأنظمة للكشف عن معالجة ملفات .pic المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.IP-1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 2

🔗

https://github.com/AcademySoftwareFoundation/OpenImageIO/security/advisories/GHSA-4499-...

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/AcademySoftwareFoundation/OpenImageIO/security/advisories/GHSA-4499-...

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

openimageio:openimageio

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-787

EPSS0.01%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-14

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-787

🏢 توجيهات البائع

🔗 https://github.com/AcademySoftwareFoundation/OpenIma... 🔗 https://github.com/AcademySoftwareFoundation/OpenIma...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43904

عرّفنا بنفسك

تسجيل الدخول مطلوب