Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.4.2 и 1.0.8, в которых устранена уязвимость (CVE-2025-20128). Уязвимость вызвана переполнением буфера в коде разбора файлов с содержимым в формате OLE2 (Object Linking and Embedding 2), которое удалённый неаутентифицированный атакующий может использовать для отказа в обслуживании. Проблема проявляется начиная с выпуска ClamAV 1.0.0 и выявлена в процессе fuzzing-тестирования проектом OSS-Fuzz.
Уязвимость вызвана целочисленным переполнением при проверке границ, приводящим к чтению из области за пределами выделенного буфера. Проблема проявляется при обработке файлов, содержащий специально оформленный контент в формате OLE2, и приводит к аварийному завершению процесса сканирования. Сообщается о выявлении в сети прототипа эксплоита, который может использоваться для атак на почтовые серверы или системы обмена файлами, использующие ClamAV.