CVE-2026-21495 CVSS 5.5 中危

CVE-2026-21495: iccDEV TIFF图像读取器除零漏洞

披露日期: 2026-01-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-21495

漏洞类型

除零错误

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

iccDEV

漏洞概述

iccDEV是一套允许ICC颜色管理配置文件交互、操作和应用的库和工具集。在2.3.1.2之前的版本中，iccDEV的TIFF图像读取器存在除零漏洞。攻击者可以通过构造恶意TIFF图像文件触发该漏洞，导致程序崩溃或拒绝服务。该漏洞需要用户交互，攻击向量为本地，认证要求为无需认证。漏洞已通过升级到2.3.1.2版本进行修复。

技术细节

该漏洞位于iccDEV的TIFF图像读取器组件中，具体问题是在处理TIFF图像时未对相关参数进行充分的验证，导致在特定计算中出现除零操作。攻击者可以通过精心构造包含恶意参数的TIFF图像文件，当目标用户打开或处理该文件时触发除零错误，造成程序崩溃或异常行为。由于CVSS向量中可用性影响为高，因此该漏洞主要影响系统的可用性。

攻击链分析

STEP 1

步骤1

构造恶意TIFF图像文件

STEP 2

步骤2

诱骗用户打开该文件

STEP 3

步骤3

触发除零漏洞

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要提供可触发漏洞的PoC代码

影响范围

iccDEV < 2.3.1.2

防御指南

临时缓解措施

暂无已知缓解措施

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表