漏洞信息(CVE-2021-21848)

一、漏洞 CVE-2021-21848 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

GPAC项目在Advanced Content library v1.0.1中存在一个可攻击的整数溢出漏洞。当解析使用“stsz” FOURCC代码的原子时，该库实际上会 reuse 解析“stz2” FOURCC代码的原子的解析器，由于未检查的算术可能会导致整数溢出，导致堆Based缓冲区溢出，导致内存泄漏。攻击者可以说服用户打开视频来触发这个漏洞。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An exploitable integer overflow vulnerability exists within the MPEG-4 decoding functionality of the GPAC Project on Advanced Content library v1.0.1. The library will actually reuse the parser for atoms with the “stsz” FOURCC code when parsing atoms that use the “stz2” FOURCC code and can cause an integer overflow due to unchecked arithmetic resulting in a heap-based buffer overflow that causes memory corruption. An attacker can convince a user to open a video to trigger this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

整数溢出导致缓冲区溢出

来源：美国国家漏洞数据库 NVD

漏洞标题

GPAC Project Advanced Content 缓冲区错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

GPAC Project Advanced Content是MPEG-4系统标准的实现，以ANSI C编写。 GPAC Project Advanced Content 1.0.1版本存在安全漏洞，该漏洞源于 stz2 decoder的MPEG-4解码功能中的整数溢出。远程攻击者可利用该漏洞欺骗受害者打开视频，触发整数溢出并在目标系统上执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

缓冲区错误

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-21848 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-21848 的情报信息

https://talosintelligence.com/vulnerability_reports/TALOS-2021-1297 x_refsource_MISC
https://www.debian.org/security/2021/dsa-4966 vendor-advisory x_refsource_DEBIAN
https://nvd.nist.gov/vuln/detail/CVE-2021-21848

一、 漏洞 CVE-2021-21848 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-21848 的公开POC

三、漏洞 CVE-2021-21848 的情报信息

一、漏洞 CVE-2021-21848 基础信息