CRITICAL🇬🇧 English

CVE-2026-24826

Liczne błędy pamięci w bibliotece turso3d (cadaver)

CVSS 10.0v4.0pub. 2026-01-27upd. 2026-04-15

W bibliotece graficznej turso3d (projekt cadaver) zidentyfikowano kilka krytycznych podatności związanych z zarządzaniem pamięcią i błędami arytmetycznymi, które wspólnie uzyskały ocenę CVSS 10.0. Ich obecność stwarza ryzyko przejęcia kontroli nad aplikacją lub jej destabilizacji.

Pokaż oryginał (EN)

Out-of-bounds Write, Divide By Zero, NULL Pointer Dereference, Use of Uninitialized Resource, Out-of-bounds Read, Reachable Assertion vulnerability in cadaver turso3d.This issue affects .

🤖 Analiza AI
Jak działa

Podatności obejmują zapis poza granicami bufora (Out-of-bounds Write, CWE-787), odczyt poza granicami bufora (Out-of-bounds Read, CWE-125), wyłuskanie wskaźnika NULL (NULL Pointer Dereference, CWE-476), dzielenie przez zero (Divide By Zero, CWE-369), użycie niezainicjalizowanego zasobu (Use of Uninitialized Resource, CWE-908) oraz osiągalne asercje (Reachable Assertion, CWE-617). Błędy te mogą być wyzwolone przez spreparowane dane wejściowe przetwarzane przez bibliotekę. Atakujący zdalny, nieuwierzytelniony użytkownik może dostarczyć złośliwy payload bez jakiejkolwiek interakcji ze strony ofiary.

Skutki

Atakujący może doprowadzić do wykonania dowolnego kodu (RCE), destabilizacji lub całkowitego zatrzymania działania aplikacji wykorzystującej bibliotekę, a także do wycieku lub uszkodzenia danych w pamięci procesu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawka jest procedowana w ramach pull request #11 w repozytorium https://github.com/cadaver/turso3d/pull/11.

Kogo dotyczy

Biblioteka turso3d projektu cadaver — wersje wskazane w referencjach producenta (pull request #11 na GitHub).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje
CVE-2026-24826 — Liczne błędy pamięci w bibliotece turso3d (cadaver) — CRITICAL 10.0 | CVEbaza.pl