製品・ソフトウェアに関する情報
Vulnerability Search
GNOME Project等の複数ベンダの製品における不適切な長さの値によるバッファへのアクセスに関する脆弱性
Title GNOME Project等の複数ベンダの製品における不適切な長さの値によるバッファへのアクセスに関する脆弱性
Summary

GNOME localsearch(以前はtracker-minersとして知られていた)のMP3 Extractor、特にtracker-extract-mp3コンポーネントに脆弱性が見つかりました。このヒープバッファオーバーフローの脆弱性は、破損したID3v2.3のCOMM(コメント)タグを含む特殊に加工されたMP3ファイルを処理する際に発生します。攻撃者は悪意のあるMP3ファイルを提供することで、この脆弱性を悪用し、サービス拒否(DoS)を引き起こし、アプリケーションをクラッシュさせる可能性があり、さらにヒープメモリから機密情報が漏洩する恐れがあります。

Possible impacts ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 16, 2026, midnight
Registration Date June 17, 2026, 3:37 p.m.
Last Update June 17, 2026, 3:37 p.m.
CVSS3.0 : 警告
Score 6.1
Vector CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H
Affected System
レッドハット
Red Hat Enterprise Linux 10.0
Red Hat Enterprise Linux 8.0
Red Hat Enterprise Linux 9.0
GNOME Project
LocalSearch 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月17日]
  掲載		 June 17, 2026, 3:37 p.m.
NVD Vulnerability Information
CVE-2026-1766
Summary

A flaw was found in GNOME localsearch (previously known as tracker-miners) MP3 Extractor, specifically within the tracker-extract-mp3 component. This heap buffer overflow vulnerability occurs when processing specially crafted MP3 files containing malformed ID3v2.3 COMM (Comment) tags. An attacker could exploit this by providing a malicious MP3 file, leading to a denial of service (DoS), which causes an application crash, and potentially disclosing sensitive information from the heap memory.

Publication Date June 16, 2026, 11:16 a.m.
Registration Date June 17, 2026, 4:16 a.m.
Last Update June 17, 2026, 12:42 a.m.
Related information, measures and tools
Common Vulnerabilities List