PT-2022-13892 · Gpac · Gpac

Xidoo123

·

Publicado

2022-04-25

·

Atualizado

2023-06-27

·

CVE-2022-1441

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
GPAC versão 2.0.0
Descrição
O problema ocorre quando o MP4Box, um componente do GPAC, tenta analisar um arquivo MP4. Ele chama a função diST box read() para ler o vídeo, alocando um buffer str com comprimento fixo. No entanto, o conteúdo lido de bs e seu comprimento são controláveis pelo usuário, levando a um estouro de buffer.
Recomendações
Para a versão 2.0.0 do GPAC, considere desativar a função diST box read() como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao MP4Box para minimizar o risco de exploração. Evite usar o MP4Box para analisar arquivos MP4 de fontes não confiáveis até que o problema seja resolvido.

Exploit

Correção

Out of bounds Read

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-119

Identificadores relacionados

CVE-2022-1441
DSA-5411-1

Produtos afetados

Gpac