Vulnerability Details CVE-2026-49495
Ghidra 10.2 before 12.1 contains an uncontrolled resource consumption vulnerability in ExportTrie.parseTrie() that lacks cycle detection when traversing Mach-O binary export tries. A crafted Mach-O binary with circular references in the export trie causes unbounded queue growth and exponential string concatenation, triggering OutOfMemoryError that crashes the entire JVM and loses all unsaved work.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 1.9%
CVSS Severity
CVSS v3 Score 5.5
References
Products affected by CVE-2026-49495
-
cpe:2.3:a:nsa:ghidra:10.2
-
cpe:2.3:a:nsa:ghidra:10.2.1
-
cpe:2.3:a:nsa:ghidra:10.2.2
-
cpe:2.3:a:nsa:ghidra:10.2.3
-
cpe:2.3:a:nsa:ghidra:10.3
-
cpe:2.3:a:nsa:ghidra:10.3.1
-
cpe:2.3:a:nsa:ghidra:10.3.2
-
cpe:2.3:a:nsa:ghidra:10.3.3
-
cpe:2.3:a:nsa:ghidra:10.4
-
cpe:2.3:a:nsa:ghidra:11.0
-
cpe:2.3:a:nsa:ghidra:11.0.1
-
cpe:2.3:a:nsa:ghidra:11.0.2
-
cpe:2.3:a:nsa:ghidra:11.0.3
-
cpe:2.3:a:nsa:ghidra:11.1
-
cpe:2.3:a:nsa:ghidra:11.1.1
-
cpe:2.3:a:nsa:ghidra:11.1.2
-
cpe:2.3:a:nsa:ghidra:11.2
-
cpe:2.3:a:nsa:ghidra:11.2.1
-
cpe:2.3:a:nsa:ghidra:11.3
-
cpe:2.3:a:nsa:ghidra:11.3.1
-
cpe:2.3:a:nsa:ghidra:11.3.2
-
cpe:2.3:a:nsa:ghidra:11.4
-
cpe:2.3:a:nsa:ghidra:11.4.1
-
cpe:2.3:a:nsa:ghidra:11.4.2
-
cpe:2.3:a:nsa:ghidra:11.4.3
-
cpe:2.3:a:nsa:ghidra:12.0
-
cpe:2.3:a:nsa:ghidra:12.0.1
-
cpe:2.3:a:nsa:ghidra:12.0.2
-
cpe:2.3:a:nsa:ghidra:12.0.3
-
cpe:2.3:a:nsa:ghidra:12.0.4