Vulnerabilidad en librería libpng
Libpng es una librería estándar para manejar imágenes PNG usada en prácticamente todos los sistemas operativos y navegadores en existencia, es por esto que el descubrimiento de una vulnerabilidad de severidad alta, con calificación CVSS3.1 de 8.3 e identificador CVE-2026-25646, hizo sonar alarmas. Esta vulnerabilidad es particularmente importante debido a lo longeva que es, pues ha estado presente desde que la implementación de la función desde donde se origina.
Se trata de una vulnerabilidad de desbordamiento de búfer en el heap en png_set_quantize(), una función de la API encargada de reducir la cantidad de colores de una imagen mediante un algoritmo que agrupa colores similares y construye una tabla de dispersión para almacenar los índices correspondientes a cada color.
Un error en la lógica del código provoca que se confundan los índices actuales con los originales y no se puedan identificar los colores que deben eliminarse. De esta forma, la función entra en un bucle infinito y resulta en una lectura fuera de límites sobre un búfer interno asignado en el heap. En la mayoría de los casos, esto provoca la caída de una aplicación. Sin embargo, un actor malicioso podría usar la técnica de heap grooming para ejecutar código arbitrario.
Para su explotación exitosa, una imagen PNG debe tener una paleta de colores con más del doble de colores que el máximo soportado por la pantalla del usuario y la aplicación debe solicitar la cuantización de color.
La versión más reciente de libpng corrige este error que ha persistido durante treinta años, por lo que se recomienda actualizar cuanto antes.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| libpng | Versiones anteriores a la versión 1.6.55. | Versión 1.6.55. |
Recomendaciones
- Actualizar a la versión corregida inmediatamente.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Baran, G. (2026, 10 febrero). 30-Year-Old Libpng Vulnerability Exposes Millions of Systems to Code Execution Attacks. Cyber Security News. Recuperado el 13 de febrero del 2026, en: https://cybersecuritynews.com/libpng-vulnerability-exposes-millions-apps/
- Underhill, K. (2026, 11 febrero). CVE-2026-25646: Legacy Libpng Flaw Poses RCE Risk. eSecurity Planet. Recuperado el 13 de febrero del 2026, en: https://www.esecurityplanet.com/threats/cve-2026-25646-legacy-libpng-flaw-poses-rce-risk/
