Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.4.3 и 1.0.98, в которых устранены уязвимости, одна из которых может привести к выполнению кода атакующего при проверке специально оформленного содержимого.
- CVE-2025-20260 – ошибка в коде разбора файлов в формате PDF, приводящая к записи данных за пределы выделенного буфера. Проблема проявляется в конфигурациях, максимальный размер настроек file-size и scan-size в которых равен или превышает 1024MB и
1025MB соответственно. Эксплуатация уязвимости возможна начиная с выпуска 1.0.0 и может привести к выполнению кода с правами процесса ClamAV. - CVE-2025-20234 – ошибка в коде разбора файлов в формате
UDF, приводящая к чтению данных из области памяти за пределами выделенного буфера. Проблема может привести к аварийному завершению процесса или утечки данных из памяти во временный файл. Уязвимость проявляется начиная с версии 1.2.0. - Обращение к памяти после её освобождения в модуле распаковки архивов в формате xz (CVE не назначен). Проблема вызвана ошибкой во встроенной в код ClamAV библиотеке lzma-sdk, которая была устранена в основном проекте в выпуске lzma-sdk 18.03, опубликованном 2018 в году без упоминания устранения уязвимости. Уязвимость проявляется во всех версиях ClamAV, начиная с 0.99.4.
Release.
Ссылка here.