kiyochii/CVE-2026-29628
GitHub: kiyochii/CVE-2026-29628
这是一个针对CVE-2026-29628漏洞的概念验证(PoC)代码库。
Stars: 0 | Forks: 0
# CVE-2026-29628 tinyobjloader experimental parser 缓冲区溢出
## 概述
https://github.com/tinyobjloader/tinyobjloader 中存在基于栈的缓冲区溢出,它仅影响实验版本,可能导致意外结果。
## 受影响版本
`tinyobjloader` 在 commit `d56555b` 及之前的所有版本中受到影响。
修复方案已在以下提交中提出:
- `386b73bb8c1a855236beb73b11f45f7feac4e03a`
代码库:
-
## 概念验证
该问题在 AddressSanitizer 下可复现为 `tinyobj_opt::LoadMtl` 中的 stack-buffer-overflow,原因是超大的 `newmtl token` 被写入了固定大小的局部缓冲区 `namebuf`。
### 编译说明
在启用 AddressSanitizer 和 UndefinedBehaviorSanitizer 的情况下构建此概念验证:
```
clang++ -std=c++17 -O1 -g -fsanitize=address,undefined -fno-omit-frame-pointer \
-I./tinyobjloader \
-I./tinyobjloader/experimental \
poc.cpp -o poc
```
标签:C++, Maven, 数据擦除, 文件解析, 漏洞证明, 漏洞验证, 缓冲区溢出