Vulnerability Details CVE-2026-33666
Zserio is a framework for serializing structured data with a compact and efficient way with low overhead. Prior to 2.18.1, in BitStreamReader.h readBytes() / readString(), the setBitPosition() bounds check receives the overflowed value and is completely bypassed. The code then reads len bytes (512 MB) from a buffer that is only a few bytes long, causing a segmentation fault. This vulnerability is fixed in 2.18.1.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 12.0%
CVSS Severity
CVSS v3 Score 7.5
References
Products affected by CVE-2026-33666
-
cpe:2.3:a:nds-association:zserio:1.0.0
-
cpe:2.3:a:nds-association:zserio:1.1.0
-
cpe:2.3:a:nds-association:zserio:1.2.0
-
cpe:2.3:a:nds-association:zserio:1.3.0
-
cpe:2.3:a:nds-association:zserio:1.4.0
-
cpe:2.3:a:nds-association:zserio:2.0.0
-
cpe:2.3:a:nds-association:zserio:2.1.0
-
cpe:2.3:a:nds-association:zserio:2.10.0
-
cpe:2.3:a:nds-association:zserio:2.11.0
-
cpe:2.3:a:nds-association:zserio:2.12.0
-
cpe:2.3:a:nds-association:zserio:2.13.0
-
cpe:2.3:a:nds-association:zserio:2.14.0
-
cpe:2.3:a:nds-association:zserio:2.14.1
-
cpe:2.3:a:nds-association:zserio:2.15.0
-
cpe:2.3:a:nds-association:zserio:2.16.0
-
cpe:2.3:a:nds-association:zserio:2.16.1
-
cpe:2.3:a:nds-association:zserio:2.17.0
-
cpe:2.3:a:nds-association:zserio:2.18.0
-
cpe:2.3:a:nds-association:zserio:2.2.0
-
cpe:2.3:a:nds-association:zserio:2.3.0
-
cpe:2.3:a:nds-association:zserio:2.4.0
-
cpe:2.3:a:nds-association:zserio:2.4.1
-
cpe:2.3:a:nds-association:zserio:2.4.2
-
cpe:2.3:a:nds-association:zserio:2.5.0
-
cpe:2.3:a:nds-association:zserio:2.5.1
-
cpe:2.3:a:nds-association:zserio:2.6.0
-
cpe:2.3:a:nds-association:zserio:2.6.1
-
cpe:2.3:a:nds-association:zserio:2.7.0
-
cpe:2.3:a:nds-association:zserio:2.8.0
-
cpe:2.3:a:nds-association:zserio:2.9.0