Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01048

Опубликовано: 19 нояб. 2025
Источник: fstec
CVSS3: 7.1
CVSS2: 6.6
EPSS Низкий

Описание

Уязвимость функции png_image_read_direct_scaled() библиотеки libpng связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Вендор

Guy Eric Schalnat Andreas Dilger Glenn Randers-Pehrson

Наименование ПО

libpng

Версия ПО

от 1.6.51 до 1.6.53 включительно (libpng)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/pnggroup/libpng/commit/218612ddd6b17944e21eda56caf8b4bf7779d1ea
https://github.com/pnggroup/libpng/commit/e4f7ad4ea2
https://github.com/pnggroup/libpng/releases/tag/v1.6.54

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00018
Низкий

7.1 High

CVSS3

6.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-22695

CVSS3: 6.1
ubuntu
22 дня назад

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. From 1.6.51 to 1.6.53, there is a heap buffer over-read in the libpng simplified API function png_image_finish_read when processing interlaced 16-bit PNGs with 8-bit output format and non-minimal row stride. This is a regression introduced by the fix for CVE-2025-65018. This vulnerability is fixed in 1.6.54.

nvd логотип

CVE-2026-22695

CVSS3: 6.1
nvd
22 дня назад

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. From 1.6.51 to 1.6.53, there is a heap buffer over-read in the libpng simplified API function png_image_finish_read when processing interlaced 16-bit PNGs with 8-bit output format and non-minimal row stride. This is a regression introduced by the fix for CVE-2025-65018. This vulnerability is fixed in 1.6.54.

debian логотип

CVE-2026-22695

CVSS3: 6.1
debian
22 дня назад

LIBPNG is a reference library for use in applications that read, creat ...

suse-cvrf логотип

SUSE-SU-2026:0192-1

suse-cvrf
14 дней назад

Security update for libpng16

suse-cvrf логотип

openSUSE-SU-2026:20083-1

suse-cvrf
13 дней назад

Security update for libpng16

EPSS

Процентиль: 4%
0.00018
Низкий

7.1 High

CVSS3

6.6 Medium

CVSS2