Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-49346

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-190 Desbordamiento o ajuste de enteros
Fecha de publicación:
19/06/2026
Última modificación:
26/06/2026

Descripción

*** Pendiente de traducción *** libde265 is an open source implementation of the h.265 video codec. Prior to version 1.1.0, a crafted H.265 bitstream with large SPS dimensions and 16-bit bit depth causes a signed integer overflow in `de265_image_get_buffer()` (`libde265/image.cc:128`). The overflow wraps the plane allocation size to a small value (~1 KB), but the subsequent `fill_image()` call computes the real size using `size_t`, writing ~4 GB into the undersized heap buffer. Version 1.1.0 patches the issue.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:struktur:libde265:*:*:*:*:*:*:*:* 1.1.0 (excluyendo)