Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01774

Опубликовано: 10 фев. 2026
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость функции png_set_quantize() библиотеки для работы с растровой графикой в формате PNG libpng связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при помощи специально сформированного PNG-файла

Вендор

АО «ИВК»
Guy Eric Schalnat Andreas Dilger Glenn Randers-Pehrson

Наименование ПО

АЛЬТ СП 10
libpng

Версия ПО

- (АЛЬТ СП 10)
до 1.6.55 (libpng)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- ограничение возможности открытия PNG-файлов, полученных из недоверенных источников;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/pnggroup/libpng/commit/01d03b8453eb30ade759cd45c707e5a1c7277d88
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 26%
0.00093
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-25646

CVSS3: 8.1
ubuntu
около 2 месяцев назад

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.55, an out-of-bounds read vulnerability exists in the png_set_quantize() API function. When the function is called with no histogram and the number of colors in the palette is more than twice the maximum supported by the user's display, certain palettes will cause the function to enter into an infinite loop that reads past the end of an internal heap-allocated buffer. The images that trigger this vulnerability are valid per the PNG specification. This vulnerability is fixed in 1.6.55.

redhat логотип

CVE-2026-25646

CVSS3: 7
redhat
около 2 месяцев назад

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.55, an out-of-bounds read vulnerability exists in the png_set_quantize() API function. When the function is called with no histogram and the number of colors in the palette is more than twice the maximum supported by the user's display, certain palettes will cause the function to enter into an infinite loop that reads past the end of an internal heap-allocated buffer. The images that trigger this vulnerability are valid per the PNG specification. This vulnerability is fixed in 1.6.55.

nvd логотип

CVE-2026-25646

CVSS3: 8.1
nvd
около 2 месяцев назад

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.55, an out-of-bounds read vulnerability exists in the png_set_quantize() API function. When the function is called with no histogram and the number of colors in the palette is more than twice the maximum supported by the user's display, certain palettes will cause the function to enter into an infinite loop that reads past the end of an internal heap-allocated buffer. The images that trigger this vulnerability are valid per the PNG specification. This vulnerability is fixed in 1.6.55.

debian логотип

CVE-2026-25646

CVSS3: 8.1
debian
около 2 месяцев назад

LIBPNG is a reference library for use in applications that read, creat ...

suse-cvrf логотип

SUSE-SU-2026:0599-1

suse-cvrf
около 1 месяца назад

Security update for libpng12

EPSS

Процентиль: 26%
0.00093
Низкий

8.1 High

CVSS3

7.6 High

CVSS2