一、 漏洞 CVE-2024-47597 基础信息
漏洞标题
GStreamer中存在qtdemux_parse_samples越界读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
GStreamer 是一个用于构建媒体处理组件图的库。在 qtdemux.c 文件中的 qtdemux_parse_samples 函数中检测到一个 OOB(超出边界)读取漏洞。该漏洞发生在 qtdemux_parse_samples 函数读取数据超出 stream->stco 缓冲区的边界时。以下代码片段展示了对 qt_atom_parser_get_offset_unchecked 的调用,这在解析提供的 GHSL-2024-245_crash1.mp4 文件时会导致 OOB 读取。该漏洞可能导致最多读取 8 字节的超出边界数据。此漏洞已在 1.24.10 版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
GHSL-2024-245: GStreamer has an OOB-read in qtdemux_parse_samples
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GStreamer is a library for constructing graphs of media-handling components. An OOB-read has been detected in the function qtdemux_parse_samples within qtdemux.c. This issue arises when the function qtdemux_parse_samples reads data beyond the boundaries of the stream->stco buffer. The following code snippet shows the call to qt_atom_parser_get_offset_unchecked, which leads to the OOB-read when parsing the provided GHSL-2024-245_crash1.mp4 file. This issue may lead to read up to 8 bytes out-of-bounds. This vulnerability is fixed in 1.24.10.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
GStreamer 缓冲区错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GStreamer是GStreamer开源的一套用于处理流媒体的框架。 GStreamer 1.24.10之前版本存在缓冲区错误漏洞,该漏洞源于在qtdemux.c中的qtdemux_parse_samples函数中检测到越界读取。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
缓冲区错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47597 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47597 的情报信息