Hdf5
Уязвимости
131
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02948
Распределение по критичности
Критический
8
Высокий
37
Средний
52
Низкий
34
Затронутые диапазоны версий
1.12.0–1.13.01.8.0–1.10.11.8.0–1.8.20< 1.14.4< 1.14.4.2< 1.14.6< 2.0.0≤ 1.10.3≤ 1.10.4≤ 1.12.0≤ 1.14.1-2≤ 1.14.3≤ 1.14.6
Также сопоставлено как (исходные строки): hdf5
Топ уязвимостей
CVE-2024-33874Библиотека HDF5 до версии 1.14.3 имеет переполнение буфера кучи в H5O__mtime_new_encode в H5Omtime.c.
CVE-2024-32621Библиотека HDF5 версии до 1.14.3 содержит переполнение буфера в стеке на основе кучи в H5HG_read в H5HG.c (вызывается из H5VL__native_blob_get в H5VLnative_blob.c), что приводит к повреждению указателя команды.
CVE-2024-32615Библиотека HDF5 версии до 1.14.3 содержит переполнение буфера в стеке на основе кучи в H5Z__nbit_decompress_one_byte в H5Znbit.c, вызванное ранее использованным инициализированным указателем.
CVE-2024-32611Библиотека HDF5 версии до 1.14.3 может использовать неинициализированное значение в H5A__attr_release_table в H5Aint.c.
CVE-2024-29164HDF5 до версии 1.14.3 содержит переполнение стека в H5R__decode_heap, что приводит к повреждению указателя инструкции и вызывает отказ в обслуживании или потенциальное выполнение кода.
CVE-2024-29159HDF5 до версии 1.14.3 содержит переполнение буфера в H5Z__filter_scaleoffset, что приводит к повреждению указателя инструкции и вызывает отказ в обслуживании или потенциальное выполнение кода.
CVE-2024-29157HDF5 до версии 1.14.3 содержит переполнение буфера кучи в H5HG_read, что приводит к повреждению указателя инструкции и вызывает отказ в обслуживании или потенциальное выполнение кода.
CVE-2024-32622Библиотека HDF5 версии до 1.14.3 содержит операцию чтения за пределами границ в H5FL_arr_malloc в H5FL.c (вызывается из H5S_set_extent_simple в H5S.c).
CVE-2025-44905В hdf5 v1.14.6 обнаружена уязвимость переполнения буфера кучи через функцию H5Z__filter_scaleoffset. Эта уязвимость возникает во время распаковки данных с использованием фильтра Scale-Offset, когда библиотека пытается прочитать 1 байт данных за пределами выделенной области памяти размером 1 байт в куче. Это может привести к повреждению памяти, сбою приложения или потенциальной эксплуатации для выполнения произвольного кода.
Источники:
- [1] https://github.com/madao123123/crash_report/blob/main/hdf5_poc/hdf5_poc5.md
CVE-2025-44904В библиотеке hdf5 версии 1.14.6 обнаружена уязвимость, связанная с переполнением буфера в куче, через функцию H5VM_memcpyvv. Эта уязвимость возникает при чтении данных из компактного набора данных, когда библиотека пытается скопировать данные за пределы выделенной области памяти в куче, что может привести к повреждению памяти, сбою приложения или потенциальным проблемам с безопасностью [1].
Источники:
- [1] https://github.com/madao123123/crash_report/blob/main/hdf5_poc/hdf5_poc1.md
CVE-2024-33877Библиотека HDF5 до версии 1.14.3 имеет переполнение буфера на куче в H5T__conv_struct_opt в H5Tconv.c.
CVE-2024-33873Библиотека HDF5 до версии 1.14.3 имеет переполнение буфера на куче в H5D__scatter_mem в H5Dscatgath.c.
CVE-2024-32623Библиотека HDF5 версии до 1.14.3 содержит переполнение буфера в стеке на основе кучи в H5VM_array_fill в H5VM.c (вызывается из H5S_select_elements в H5Spoint.c).
CVE-2024-32617Библиотека HDF5 версии до 1.14.3 содержит переполнение буфера в стеке на основе кучи, вызванное небезопасным использованием strdup в H5MM_xstrdup в H5MM.c (вызывается из H5G__ent_to_link в H5Glink.c).
CVE-2024-32614Библиотека HDF5 версии до 1.14.3 содержит ошибку SEGV в H5VM_memcpyvv в H5VM.c.
CVE-2024-32605Библиотека HDF5 до версии 1.14.3 имеет переполнение буфера в кучу в H5VM_memcpyvv в H5VM.c (вызывается из H5D__compact_readvv в H5Dcompact.c).
CVE-2024-29161HDF5 до версии 1.14.3 содержит переполнение буфера кучи в H5A__attr_release_table, что приводит к повреждению указателя инструкции и вызывает отказ в обслуживании или потенциальное выполнение кода.
CVE-2016-4333Библиотека HDF5 1.8.16, выделяющая место для массива с использованием значения из файла, оказывает влияние в цикле инициализации указанного массива, позволяя значению внутри файла изменять терминатор цикла. Из-за этого агрессор может привести к тому, что индекс цикла будет указывать за пределы массива при его инициализации.
CVE-2016-4332Из-за того, что библиотека не проверяет, поддерживают ли определенные типы сообщений конкретный флаг, библиотека HDF5 1.8.16 приведет структуру к альтернативной структуре, а затем присвоит полям, которые не поддерживаются типом сообщения, и библиотека запишет за пределы буфера кучи. Это может привести к выполнению кода в контексте библиотеки.
CVE-2016-4331При декодировании данных из набора данных, закодированного с помощью декодирования H5Z_NBIT, библиотека HDF5 1.8.16 не сможет гарантировать, что точность находится в пределах размера, что приведет к выполнению произвольного кода.
CVE-2016-4330В библиотеке HDF5 1.8.16 из-за непроверки того, находится ли число измерений для массива, считываемого из файла, в пределах пространства, выделенного для него, произойдет переполнение буфера на основе кучи, что потенциально приведет к выполнению произвольного кода.
CVE-2021-46242В HDF5 v1.13.1-1 обнаружена уязвимость use-after-free кучи через компонент H5AC_unpin_entry.
CVE-2026-34734HDF5 - это программное обеспечение для управления данными. В 1.14.1-2 и ранее в полезности h5 dump helper был обнаружен куча-бесплатное использование. Злоумышленник, который может предоставить вредоносный файл h5, может запустить кучу без использования после. Высвобожденный объект упоминается в звонке за месяц от H5T__conv_struct. Оригинальный объект был выделен H5D__typeinfo_init_phase3 и освобожден H5D_typeinfo_term.
CVE-2026-26200HDF5 - это программное обеспечение для управления данными. До версии 1.14.4-2 злоумышленник, который может управлять файлом `h5` F, разбираемым HDF5, может вызвать состояние переполнения кучи на основе записи. Это может привести к состоянию отказа в обслуживании и, возможно, к дальнейшим проблемам, таким как удаленное выполнение кода в зависимости от практической эксплуатационной возможности переполнения кучи против современных операционных систем. Реальная эксплуатанция этого вопроса с точки зрения удаленного выполнения кода в настоящее время неизвестна. Версия 1.14.4-2 исправляет проблему.
CVE-2022-26061В функциональности gif2h5 HDF5 Group libhdf5 1.10.4 существует уязвимость переполнения буфера на основе кучи. Специально созданный GIF-файл может привести к выполнению кода. Злоумышленник может предоставить вредоносный файл для использования этой уязвимости.