オープンソースのマルウェア対策ソフトウェア「ClamAV」に深刻な脆弱性が明らかとなった。開発チームではアップデートを呼びかけている。

「CVE-2025-20260」は、「PDFファイル」の解析処理に判明したヒープベースのバッファオーバーフローが生じる脆弱性。

脆弱性は、特定以上のスキャンサイズが設定された環境で細工されたPDFファイルをスキャンするとプロセスがクラッシュし、任意のコードを実行されたり、サービス拒否に陥ることがある。

また「UDFファイル」の解析においてもバッファオーバーフローにより、サービス拒否や情報漏洩が生じることが判明した。

あわせてサードパーティ製ライブラリ「lzma-sdk」の解凍モジュールにおける解放後のメモリを使用するいわゆる「Use After Free」の脆弱性なども対応した。

開発チームではセキュリティパッチをリリースしたのでアップデートを推奨している。