FFmpeg < n7.0 堆溢出漏洞 (CVE-2023-51794)

漏洞类型 堆缓冲区溢出 发现时间 2024-04-28 漏洞等级 高危
MPS编号 MPS-akej-cx6f CVE编号 CVE-2023-51794 漏洞影响广度 一般

漏洞危害

OSCS 描述
FFmpeg 是开源的多媒体框架,支持音频和视频的录制、转换以及流处理,stereowiden filter是其中的音频过滤器,用于增强立体声音轨的空间感。
受影响版本中,由于 libavfilter/af_stereowiden.c 实现中未对 StereoWidenContext 指针变量长度为0的情况进行校验导致出现堆溢出漏洞,当使用 stereowiden filter 处理攻击者可控的音频文件时可能导致程序崩溃或远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-akej-cx6f

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
ffmpeg (-∞, n7.0) 升级 将组件 ffmpeg 升级至 n7.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-akej-cx6f

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-akej-cx6f

https://nvd.nist.gov/vuln/detail/CVE-2023-51794

https://trac.ffmpeg.org/ticket/10746

https://github.com/FFmpeg/FFmpeg/commit/50f0f8c53c818f73fe2d752708e2fa9d2a2d8a07

(0)
上一篇 2024年4月28日
下一篇 2024年5月3日

相关推荐

  • Zabbix zbxjson模块缓冲区溢出漏洞 (CVE-2023-32722)

    漏洞类型 经典缓冲区溢出 发现时间 2023-10-12 漏洞等级 严重 MPS编号 MPS-mvg7-3jsp CVE编号 CVE-2023-32722 漏洞影响广度 一般 漏洞危害 OSCS 描述 Zabbix 是开源的网络监控和管理工具,zbxjson用于通过 JSON-RPC 方式与 Zabbix 服务器进行通信,监控项功能用来从主机收集数据(如处理…

    2023年10月14日
    0
  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0
  • Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272) [有POC]

    漏洞类型 输入验证不恰当 发现时间 2023-08-17 漏洞等级 高危 MPS编号 MPS-w0kg-9vl7 CVE编号 CVE-2023-40272 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spar…

    2023年8月20日
    0
  • Microsoft Word NTLM哈希信息泄露漏洞 (CVE-2023-36761)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-09-13 漏洞等级 中危 MPS编号 MPS-mir2-plxk CVE编号 CVE-2023-36761 漏洞影响广度 广 漏洞危害 OSCS 描述 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Microsoft Word受影响版本中存在信息泄露漏洞,使用预览窗格对文件…

    2023年9月14日
    0
  • 泛微 e-cology9 存在任意用户登录漏洞

    漏洞类型 身份验证不当 发现时间 2023/5/16 漏洞等级 高危 MPS编号 MPS-qj5s-7z0o CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微e-cology9部分版本中存在前台任意用户登录漏洞,由于系统默认配置固定密钥进行用户身份验证。当存在/m…

    2023年8月31日
    0