Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34540)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-122 Desbordamiento de búfer basado en memoria dinámica (Heap)

Fecha de publicación:

31/03/2026

Última modificación:

01/04/2026

Descripción

iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, un perfil ICC manipulado puede desencadenar un desbordamiento de búfer de pila (HBO) en icMemDump() cuando iccDumpProfile intenta volcar/describir contenidos de etiquetas malformados. El problema es observable bajo AddressSanitizer como una lectura de pila fuera de límites en icMemDump(...) en IccProfLib/IccUtil.cpp:1002, alcanzable a través de CIccTagUnknown::Describe(). Este problema ha sido parcheado en la versión 2.3.1.6.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.20 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.20

Gravedad 3.x

MEDIA

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34540)

Descripción

Impacto

Referencias a soluciones, herramientas e información