الثغرات ›

CVE-2026-43905

مرتفع ⚡ اختراق متاح

CWE-190 — نوع الضعف

                    نُشر: May 14, 2026                      ·  آخر تحديث: May 21, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenImageIO is a toolset for reading, writing, and manipulating image files of any image file format relevant to VFX / animation. Prior to 3.0.18.0 and 3.1.13.0, jpeg2000input.cpp:395 computes buffer size as const int bufsize = w * h * ch * buffer_bpp using signed 32-bit arithmetic. When the product exceeds INT_MAX, the result wraps to 0 or a small value. m_buf.resize() allocates an undersized buffer, and subsequent pixel write loops cause heap overflow. Conditional on USE_OPENJPH build flag. This vulnerability is fixed in 3.0.18.0 and 3.1.13.0.

🤖 ملخص AI

OpenImageIO versions prior to 3.0.18.0 and 3.1.13.0 contain an integer overflow vulnerability in JPEG2000 image processing that causes heap buffer overflow when computing buffer sizes with large image dimensions. This allows attackers to crash applications or potentially execute arbitrary code through specially crafted JPEG2000 image files.

📄 الوصف (العربية)

تحتوي ملفات jpeg2000input.cpp على خطأ في حساب حجم المخزن المؤقت باستخدام حسابات 32-بت موقعة، مما يؤدي إلى تجاوز عدد صحيح عندما تتجاوز قيمة الضرب (العرض × الارتفاع × القنوات × bpp) INT_MAX. يؤدي هذا إلى تخصيص ذاكرة ناقصة وتجاوز heap لاحق أثناء حلقات كتابة البكسل. الثغرة مشروطة بعلم البناء USE_OPENJPH وتؤثر على الإصدارات السابقة للإصدار 3.0.18.0 و 3.1.13.0.

🤖 ملخص تنفيذي (AI)

OpenImageIO الإصدارات السابقة لـ 3.0.18.0 و 3.1.13.0 تحتوي على ثغرة تجاوز عدد صحيح في معالجة صور JPEG2000 تسبب تجاوز ذاكرة heap عند حساب أحجام المخزن المؤقت بأبعاد صور كبيرة. يسمح هذا للمهاجمين بتعطيل التطبيقات أو تنفيذ كود عشوائي محتمل من خلال ملفات صور JPEG2000 مصنوعة خصيصاً.

🤖 التحليل الذكي آخر تحليل: May 20, 2026 05:48

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom energy

🎯 تقنيات MITRE ATT&CK

T1190 T1203 T1499

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenImageIO to version 3.0.18.0 or 3.1.13.0 or later immediately. Disable USE_OPENJPH build flag if JPEG2000 support is not required. Implement input validation for image dimensions and reject files with excessively large width/height values. Apply network-level filtering to block suspicious JPEG2000 files.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenImageIO إلى الإصدار 3.0.18.0 أو 3.1.13.0 أو أحدث فوراً. قم بتعطيل علم البناء USE_OPENJPH إذا لم تكن هناك حاجة لدعم JPEG2000. قم بتطبيق التحقق من صحة المدخلات لأبعاد الصور ورفض الملفات ذات قيم العرض/الارتفاع الكبيرة جداً. طبق التصفية على مستوى الشبكة لحجب ملفات JPEG2000 المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.BE-5 PR.DS-1 PR.DS-6

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 2

🔗

https://github.com/AcademySoftwareFoundation/OpenImageIO/security/advisories/GHSA-pj45-...

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/AcademySoftwareFoundation/OpenImageIO/security/advisories/GHSA-pj45-...

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

openimageio:openimageio

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-190

EPSS0.01%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-14

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-190

🏢 توجيهات البائع

🔗 https://github.com/AcademySoftwareFoundation/OpenIma... 🔗 https://github.com/AcademySoftwareFoundation/OpenIma...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43905

عرّفنا بنفسك

تسجيل الدخول مطلوب