Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-40244

PUBLISHED 30.06.2026

CNA: GitHub_M

OpenEXR has integer overflow in DWA setupChannelData planarUncRle pointer arithmetic (missed variant of CVE-2026-34589)

Обновлено: 21.04.2026
OpenEXR provides the specification and reference implementation of the EXR file format, an image storage format for the motion picture industry. In versions 3.4.0 through 3.4.9, 3.3.0 through 3.3.9, and 3.2.0 through 3.2.7, `internal_dwa_compressor.h:1722` performs `curc->width * curc->height` in `int32` arithmetic without a `(size_t)` cast. This is the same overflow pattern fixed in other locations by the recent CVE-2026-34589 batch, but this line was missed. Versions 3.4.10, 3.3.10, and 3.2.8 contain a fix that addresses `internal_dwa_compressor.h:1722`.

CWE

Идентификатор Описание
CWE-190 The product performs a calculation that can produce an integer overflow or wraparound when the logic assumes that the resulting value will always be larger than the original value. This occurs when an integer value is incremented to a value that is too large to store in the associated representation. When this occurs, the value may become a very small or negative number.

CVSS

Оценка Severity Версия Базовый вектор
8.4 HIGH 4.0 CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

EPSS

Вероятность Severity Процентиль ? Дата расчёта
0.03% LOW 9.90 23.05.2026

Доп. Информация

Product Status

openexr
Product: openexr
Vendor: AcademySoftwareFoundation
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии >= 3.2.0, < 3.2.8 affected
Наблюдалось в версии >= 3.3.0, < 3.3.10 affected
Наблюдалось в версии >= 3.4.0, < 3.4.10 affected
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 23.04.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 22.04.2026

OpenEXR: OpenEXR: Arbitrary code execution via integer overflow in EXR image processing

Обновлено: 30.06.2026

CVSS

Оценка Severity Версия Базовый вектор
8.2 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Ссылки

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.