PT-2021-5754 · FFmpeg+5 · Ffmpeg+5

Maryam Ebrahimzadeh

·

Publicado

2021-08-06

·

Atualizado

2026-02-06

·

CVE-2021-38171

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
FFmpeg versão 4.4
Descrição
O problema está relacionado à função adts decode extradata no componente libavformat/adtsenc.c da biblioteca FFmpeg. Ela não verifica o valor de retorno de init get bits, que pode ser manipulado por um invasor. Isso poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse sua integridade e causasse uma negação de serviço.
Recomendações
Para a versão 4.4 do FFmpeg, considere desativar a função adts decode extradata até que um patch esteja disponível. Restrinja o acesso ao módulo libavformat/adtsenc.c para minimizar o risco de exploração. Evite usar a função init get bits com segundos argumentos manipulados no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Unchecked Return Value

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-252

Identificadores relacionados

ALT-PU-2021-2900
ALT-PU-2021-2999
ALT-PU-2021-3166
ALT-PU-2021-3508
ALT-PU-2021-3575
ALT-PU-2022-1821
BDU:2022-00199
CLEANSTART-2026-EZ98723
CLEANSTART-2026-PS82605
CLEANSTART-2026-XE32069
CVE-2021-38171
DLA-2818-1
DSA-4990-1
DSA-4998-1
MGASA-2021-0495
OESA-2024-1804
OESA-2024-1806
OESA-2024-1807
OESA-2024-1808
OPENSUSE-SU-2021:3193-1
OPENSUSE-SU-2021_3193-1
OPENSUSE-SU-2024:10754-1
SUSE-SU-2021:3193-1
SUSE-SU-2021:3212-1
SUSE-SU-2021_3193-1
SUSE-SU-2021_3212-1
USN-5167-1
USN-5472-1

Produtos afetados

Alt Linux
Astra Linux
Ffmpeg
Linuxmint
Suse
Ubuntu