Security update for freerdp

Announcement ID:	SUSE-SU-2026:0763-1
Release Date:	2026-03-03T12:49:14Z
Rating:	important
References:	bsc#1257981 bsc#1257982 bsc#1257983 bsc#1257984 bsc#1257985 bsc#1257986 bsc#1257987 bsc#1257988 bsc#1257989 bsc#1257990 bsc#1257991
Cross-References:	CVE-2026-24491 CVE-2026-24675 CVE-2026-24676 CVE-2026-24677 CVE-2026-24678 CVE-2026-24679 CVE-2026-24680 CVE-2026-24681 CVE-2026-24682 CVE-2026-24683 CVE-2026-24684
CVSS scores:	CVE-2026-24491 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24491 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24491 ( NVD ): 7.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24491 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24675 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24675 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24675 ( NVD ): 7.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24675 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24676 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24676 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24676 ( NVD ): 7.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24676 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24677 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24677 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24677 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24677 ( NVD ): 9.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H CVE-2026-24678 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24678 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24678 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24678 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24679 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24679 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24679 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24679 ( NVD ): 9.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H CVE-2026-24680 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24680 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24680 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24680 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24681 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVE-2026-24681 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24681 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24681 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24682 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24682 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24682 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24682 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24683 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24683 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24683 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24683 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-24684 ( SUSE ): 6.9 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVE-2026-24684 ( SUSE ): 7.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVE-2026-24684 ( NVD ): 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X CVE-2026-24684 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Affected Products:	SUSE Linux Enterprise Desktop 15 SP7 SUSE Linux Enterprise Real Time 15 SP7 SUSE Linux Enterprise Server 15 SP7 SUSE Linux Enterprise Server for SAP Applications 15 SP7 SUSE Linux Enterprise Workstation Extension 15 SP7 SUSE Package Hub 15 15-SP7

An update that solves 11 vulnerabilities can now be installed.

Description:

This update for freerdp fixes the following issues:

• CVE-2026-24491: heap-use-after-free in video_timer (bsc#1257981).
• CVE-2026-24675: heap-use-after-free in urb_select_interface (bsc#1257982).
• CVE-2026-24676: heap-use-after-free in audio_format_compatible (bsc#1257983).
• CVE-2026-24677: heap-buffer-overflow in ecam_encoder_compress_h264 (bsc#1257984).
• CVE-2026-24678: heap-use-after-free in cam_v4l_stream_capture_thread (bsc#1257985).
• CVE-2026-24679: heap-buffer-overflow in urb_select_interface (bsc#1257986).
• CVE-2026-24680: heap-use-after-free in update_pointer_new(SDL) (bsc#1257987).
• CVE-2026-24681: heap-use-after-free in urb_bulk_transfer_cb (bsc#1257988).
• CVE-2026-24682: heap-buffer-overflow in audio_formats_free (bsc#1257989).
• CVE-2026-24683: heap-use-after-free in ainput_send_input_event (bsc#1257990).
• CVE-2026-24684: heap-use-after-free in play_thread (bsc#1257991).

Patch Instructions:

To install this SUSE update use the SUSE recommended installation methods like YaST online_update or "zypper patch".
Alternatively you can run the command listed for your product:

• SUSE Package Hub 15 15-SP7
  zypper in -t patch SUSE-SLE-Module-Packagehub-Subpackages-15-SP7-2026-763=1
• SUSE Linux Enterprise Workstation Extension 15 SP7
  zypper in -t patch SUSE-SLE-Product-WE-15-SP7-2026-763=1

Package List:

• SUSE Package Hub 15 15-SP7 (aarch64 ppc64le s390x)
  • freerdp-proxy-3.10.3-150700.3.6.1
  • libuwac0-0-3.10.3-150700.3.6.1
  • freerdp-debugsource-3.10.3-150700.3.6.1
  • freerdp-wayland-debuginfo-3.10.3-150700.3.6.1
  • freerdp-server-3.10.3-150700.3.6.1
  • freerdp-server-debuginfo-3.10.3-150700.3.6.1
  • freerdp-3.10.3-150700.3.6.1
  • freerdp-proxy-debuginfo-3.10.3-150700.3.6.1
  • freerdp-debuginfo-3.10.3-150700.3.6.1
  • freerdp-wayland-3.10.3-150700.3.6.1
  • freerdp-devel-3.10.3-150700.3.6.1
  • libuwac0-0-debuginfo-3.10.3-150700.3.6.1
• SUSE Linux Enterprise Workstation Extension 15 SP7 (x86_64)
  • winpr-devel-3.10.3-150700.3.6.1
  • libfreerdp-server-proxy3-3-3.10.3-150700.3.6.1
  • freerdp-server-debuginfo-3.10.3-150700.3.6.1
  • librdtk0-0-debuginfo-3.10.3-150700.3.6.1
  • libfreerdp3-3-debuginfo-3.10.3-150700.3.6.1
  • librdtk0-0-3.10.3-150700.3.6.1
  • freerdp-3.10.3-150700.3.6.1
  • freerdp-proxy-debuginfo-3.10.3-150700.3.6.1
  • freerdp-proxy-plugins-3.10.3-150700.3.6.1
  • freerdp-proxy-3.10.3-150700.3.6.1
  • libwinpr3-3-3.10.3-150700.3.6.1
  • libfreerdp-server-proxy3-3-debuginfo-3.10.3-150700.3.6.1
  • freerdp-debuginfo-3.10.3-150700.3.6.1
  • freerdp-debugsource-3.10.3-150700.3.6.1
  • freerdp-server-3.10.3-150700.3.6.1
  • freerdp-sdl-debuginfo-3.10.3-150700.3.6.1
  • libwinpr3-3-debuginfo-3.10.3-150700.3.6.1
  • libfreerdp3-3-3.10.3-150700.3.6.1
  • freerdp-proxy-plugins-debuginfo-3.10.3-150700.3.6.1
  • freerdp-sdl-3.10.3-150700.3.6.1
  • freerdp-devel-3.10.3-150700.3.6.1

References:

• https://www.suse.com/security/cve/CVE-2026-24491.html
• https://www.suse.com/security/cve/CVE-2026-24675.html
• https://www.suse.com/security/cve/CVE-2026-24676.html
• https://www.suse.com/security/cve/CVE-2026-24677.html
• https://www.suse.com/security/cve/CVE-2026-24678.html
• https://www.suse.com/security/cve/CVE-2026-24679.html
• https://www.suse.com/security/cve/CVE-2026-24680.html
• https://www.suse.com/security/cve/CVE-2026-24681.html
• https://www.suse.com/security/cve/CVE-2026-24682.html
• https://www.suse.com/security/cve/CVE-2026-24683.html
• https://www.suse.com/security/cve/CVE-2026-24684.html
• https://bugzilla.suse.com/show_bug.cgi?id=1257981
• https://bugzilla.suse.com/show_bug.cgi?id=1257982
• https://bugzilla.suse.com/show_bug.cgi?id=1257983
• https://bugzilla.suse.com/show_bug.cgi?id=1257984
• https://bugzilla.suse.com/show_bug.cgi?id=1257985
• https://bugzilla.suse.com/show_bug.cgi?id=1257986
• https://bugzilla.suse.com/show_bug.cgi?id=1257987
• https://bugzilla.suse.com/show_bug.cgi?id=1257988
• https://bugzilla.suse.com/show_bug.cgi?id=1257989
• https://bugzilla.suse.com/show_bug.cgi?id=1257990
• https://bugzilla.suse.com/show_bug.cgi?id=1257991