JVNDB-2026-001143

Carnegie Mellon University (Project Cyrus)のPanda3Dにおける複数の脆弱性

Panda3Dのバージョン1.10.16まで（含む）には、deploy-stubに無制限のスタック割り当てによるサービス拒否の脆弱性が存在します。deploy-stub実行ファイルは、検証なしに攻撃者が制御可能なargc値に基づいてalloca()を使用し、argv_copyおよびargv_copy2を割り当てています。大量のコマンドライン引数を供給することでスタック領域を使い果たし、未初期化のスタックメモリがPythonインタプリタ初期化に伝播し、確実にクラッシュおよび未定義の動作を引き起こします。

Carnegie Mellon University (Project Cyrus)

• Panda3D 1.10.16 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

SecLists.Org

• SecLists.Org : Full Disclosure: Panda3d v1.10.16 deploy-stub Unbounded Stack Allocation Leading to Uninitialized Memory

VulnCheck

• VulnCheck Advisories : Panda3D <= 1.10.16 Deploy-Stub Stack Exhaustion via Unbounded alloca()  | Advisories | VulnCheck

1. 初期化されていない変数の使用(CWE-457) [その他]
2. 過剰なサイズ値のメモリ割り当て(CWE-789) [その他]
3. 初期化されていないリソースの使用(CWE-908) [NVD評価]

1. CVE-2026-22188

1. National Vulnerability Database (NVD) : CVE-2026-22188
2. 関連文書 : Panda3D | Open Source Framework for 3D Rendering & Games
3. 関連文書 : GitHub - panda3d/panda3d: Powerful, mature open-source cross-platform game engine for Python and C++, developed by Disney and CMU

• [2026年01月14日]
    掲載