stable-diffusion.cppは、拡散モデル（Stable Diffusion、Flux、Wan、Qwen Image、Z-Imageなど）の推論を実行するための純粋なC/C++ライブラリです。master-584-0a7ae07以前のバージョンでは、src/model.cpp内のpickle .ckptパーサーにGLOBALオペコードハンドラーでヒープバッファオーバーフローの脆弱性が存在していました。この問題は、改行で区切られたフィールドを検索する際の検証不足に起因しています。改行が期待されない状態に細工された.ckptファイルは、コピー長として-1を使用させ、即座にヒープ破損を引き起こす可能性があります。攻撃が成功するためには、被害者やアプリケーションがモデル共有サイトからダウンロードされたモデルなどの、信頼できないソースから.ckptファイルを読み込む必要があります。この問題はmaster-584-0a7ae07で修正されました。開発者がすぐにアプリケーションを更新できない場合は、次の回避策に従うことが推奨されます。信頼できないソースから.ckptチェックポイントファイルを読み込まないこと、可能な限り信頼できるモデルソースや.safetensorsなどのより安全な形式を優先することが推奨されます。

ベンダ情報を参照して適切な対策を実施してください。