← 戻る

CVE-2026-42216 critical CVSS 9.1

openexr に境界外読み取り (CVE-2026-42216)

概要

openexr に脆弱性 (CVE-2026-42216) が存在。機密情報が外部に流出する可能性があります。``c13e0e1320a6652e02c5c90c6dbd984d532efe44`` 経由で攻撃可能。

AI要約 openai / gpt-4o

OpenEXRという画像形式を扱うソフトウェアに深刻な欠陥が見つかりました。この問題は、特定のファイルを不正に開くことで、メモリから情報を盗み見たり、システムをクラッシュさせたりする可能性を持っています。過去に同じような欠陥で企業のシステムが攻撃された事例があり、特に映像産業において大きな影響を与えました。すぐに指定されたバージョンにアップデートすることでリスクを軽減できます。

IDManifest::init()関数におけるバグは、OpenEXRバージョン3.0.0から3.4.10までの範囲で発生します。具体的には、stringList[i][0]とstringList[i][1]の長さチェックがないため、範囲外のメモリ読み込みが可能です。これは特に、255バイトを超える文字列を処理する際に問題となります。この問題はバージョン3.2.9、3.3.11、3.4.11で修正されています。攻撃者はこの欠陥を利用して、ヒープメモリからのデータ漏洩やDOSを引き起こす可能性があります。回避策は提供されていませんので、早急なバージョンアップが推奨されます。

❓ 何が問題か

openexr に **境界外読み取り** (CWE-125) があります。攻撃者は ``c13e0e1320a6652e02c5c90c6dbd984d532efe44`` を経由して脆弱な処理に到達し、認証なしで悪用できます。

📍 影響範囲

openexr のうち。攻撃箇所: `c13e0e1320a6652e02c5c90c6dbd984d532efe44` / `harness.cpp` / `poc.bin` / `IDManifest`。

🔥 重要度

重要度: 最重要 (CVSS 9.1/10)。機密情報が外部に流出する可能性があります

🔧 修正方法

ベンダー公式アドバイザリの修正版に更新してください。

🛡️ 暫定回避

修正版が未提供時は、影響機能の無効化・WAFルール・ネットワークACLでの遮断を検討。

🔍 検知方法

Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

CVE-2021-20296

A buffer overflow in OpenEXR's PyBufImage::read() function could also lead to memory disruptions.

CVE-2020-11758

Another OpenEXR out-of-bounds read allowed similar heap memory exposure.

Heartbleed

This vulnerability also involved an out-of-bounds read, resulting in critical data exposure.

もし自社で起きたら業務シナリオごとの想定影響

📌 An animation studio using OpenEXR files for rendering.

An attacker could crash the rendering system, delaying production timelines.

📌 A VFX company with a large archive of EXR files.

If exploited, data leaks could reveal proprietary image content.

📌 A cloud service provider hosting EXR files.

Potential for DOS attacks against the hosting service, impacting multiple clients.

推奨アクション

Implement the patches as soon as possible by updating to the fixed OpenEXR versions to mitigate the vulnerabilities.

対応アクション (7段階)

SOC/SREチームが順番に実行すべき具体的なステップとコマンド例

1
影響範囲の特定 identify
```
grep -r 'openexr' . | grep -v node_modules
```
リポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `openexr` を grep し、稼働しているサービス・バージョンを把握する。
7
事後検証 verify
```
Confirm patched version is live in production
```
パッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。

参照URL

exploit 134c704f-9b21-4f2e-91b3-4a467353bcc0

メタデータ

CVE: CVE-2026-42216
公開日: 2026-05-07
SecPulse初出: 2日前
初出ソース: NIST National Vulnerability Database

タグ (クリックで解説)

CWE

Cwe 125

すべて

Openexr Heap Read Memory Leak Image Processing Out Of Bounds Read Critical Version Update Required Remote Exploit Uncontrolled Data

言語

C C++

Linux

攻撃タイプ

サービス拒否 (DoS)

CWE

CWE-125

検知ソース

NIST National Vulnerability Database 1日前

概要

AI要約 openai / gpt-4o

類似する過去の事例 過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら 業務シナリオごとの想定影響

対応アクション (7段階)

参照URL

🍪 Cookie について

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら業務シナリオごとの想定影響