一、 漏洞 CVE-2024-47600 基础信息
漏洞标题
GStreamer 存在越界读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
GStreamer 是一个用于构建媒体处理组件图的库。在 gst-discoverer.c 文件中的 format_channel_mask 函数中发现了一个越界读取(OOB-read)漏洞。该漏洞影响到一个局部数组 position,该数组定义了一个固定大小为 64 个元素。然而,函数 gst_discoverer_audio_info_get_channels 可能返回一个大于 64 的 guint 类型的 channels 值。这导致 for 循环尝试访问超出 position 数组边界的数据,从而在使用大于 63 的索引时发生越界读取。此漏洞可能导致从栈中读取意外的字节。此外,越界读取后对 value->value_nick 的解引用可能导致进一步的内存破坏或未定义行为。此漏洞在 1.24.10 版本中已被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
GHSL-2024-248: GStreamer has an OOB-read in format_channel_mask
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GStreamer is a library for constructing graphs of media-handling components. An OOB-read vulnerability has been detected in the format_channel_mask function in gst-discoverer.c. The vulnerability affects the local array position, which is defined with a fixed size of 64 elements. However, the function gst_discoverer_audio_info_get_channels may return a guint channels value greater than 64. This causes the for loop to attempt access beyond the bounds of the position array, resulting in an OOB-read when an index greater than 63 is used. This vulnerability can result in reading unintended bytes from the stack. Additionally, the dereference of value->value_nick after the OOB-read can lead to further memory corruption or undefined behavior. This vulnerability is fixed in 1.24.10.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
GStreamer 缓冲区错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GStreamer是GStreamer开源的一套用于处理流媒体的框架。 GStreamer存在缓冲区错误漏洞,该漏洞源于在gst-discoverer.c中的format_channel_mask函数中检测到越界读取漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
缓冲区错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47600 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47600 的情报信息