Se ha descubierto una vulnerabilidad crítica en libpng, la biblioteca oficial para imágenes PNG utilizada por casi todos los sistemas operativos y navegadores web. Identificada como CVE-2026-25646, esta falla es un desbordamiento de búfer en heap en la función png_set_quantize(), que podría permitir la ejecución remota de código o provocar la caída de aplicaciones. La vulnerabilidad, presente desde la creación de esta función, afecta todas las versiones anteriores y requiere actualización inmediata a libpng 1.6.55.
CVE y severidad
| CVE | Vector | Severidad | Componente afectado |
|---|---|---|---|
| CVE-2026-25646 | Heap buffer overflow en png_set_quantize() | Crítica | libpng – Función png_set_quantize() |
Productos afectados
Libpng en todas sus versiones anteriores a la 1.6.55, utilizada en prácticamente todos los sistemas operativos y navegadores modernos.
Solución
Actualizar a libpng versión 1.6.55.
Recomendaciones
Se recomienda realizar la actualización a la versión corregida lo antes posible para evitar riesgos asociados a ataques de denegación de servicio o ejecución remota de código debido a esta vulnerabilidad extendida y ampliamente explotable.