CVE-2025-49140

Nome do Software Vulnerável e Versões Afetadas Versões do Pion Interceptor de v0.1.36 a v0.1.38

Descrição O Pion Interceptor é um framework para construir software de comunicação RTP/RTCP. O problema é causado por um bug na fábrica de pacotes RTP, que pode ser explorado por pacotes RTP manipulados para disparar um panic em SFUs baseadas em Pion. Isso afeta apenas usuários que utilizam pion/interceptor. O bug pode ser explorado enviando pacotes RTP manipulados.

Recomendações Para as versões v0.1.36 a v0.1.38, atualize para a v0.1.39 ou posterior, que inclui uma correção que valida padLen > 0 && padLen <= payloadLength e retorna um erro em caso de overflow, evitando o panic. Se a atualização não for possível, aplique o patch do pull request manualmente ou descarte pacotes cujo bit P esteja definido, mas cujo padLen seja zero ou maior que o payload restante.