CRITICAL🇬🇧 English

CVE-2023-46427

GPAC: null pointer dereference w gf_dash_setup_period umożliwia RCE i DoS

CVSS 9.8v3.1pub. 2024-03-09upd. 2025-09-26

W bibliotece GPAC w wersji 2.3-DEV-rev588-g7edc40fee-master odkryto podatność typu null pointer dereference w komponencie gf_dash_setup_period. Zdalni atakujący mogą wykorzystać ją do wykonania dowolnego kodu, wywołania odmowy usługi (DoS) oraz uzyskania dostępu do wrażliwych informacji.

Pokaż oryginał (EN)

An issue was discovered in gpac version 2.3-DEV-rev588-g7edc40fee-master, allows remote attackers to execute arbitrary code, cause a denial of service (DoS), and obtain sensitive information via null pointer deference in gf_dash_setup_period component in media_tools/dash_client.c.

🤖 Analiza AI
Jak działa

Podatność wynika z braku walidacji wskaźnika przed jego użyciem w funkcji gf_dash_setup_period znajdującej się w pliku media_tools/dash_client.c. Atakujący może zdalnie wywołać sytuację, w której wskaźnik przyjmuje wartość NULL, co prowadzi do błędu null pointer dereference. Taki błąd może skutkować awaryjnym zakończeniem procesu lub — w sprzyjających warunkach — umożliwić atakującemu przejęcie kontroli nad wykonaniem kodu.

Skutki

Atakujący może zdalnie wykonać dowolny kod (RCE), spowodować odmowę usługi (DoS) poprzez awarię aplikacji, a także uzyskać dostęp do wrażliwych danych przetwarzanych przez bibliotekę GPAC.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu GPAC (GitHub) w celu uzyskania poprawionej wersji oraz unikanie przetwarzania niezaufanych plików multimedialnych DASH do czasu zastosowania łatki.

Kogo dotyczy

GPAC w wersji 2.3-DEV-rev588-g7edc40fee-master

Uwagi

Podatność dotyczy wersji deweloperskiej (DEV) biblioteki GPAC. Szczegóły techniczne zostały opublikowane w zgłoszeniu nr 2641 w repozytorium GitHub projektu GPAC.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Gpac

    APP
    Gpac
    2.3-dev-rev588-g7edc40fee-master
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2024-0322CRITICAL9.1PL ✓ten sam produkt

Out-of-bounds Read w bibliotece GPAC — odczyt pamięci i awaria aplikacji

CVE-2024-0321CRITICAL9.8PL ✓ten sam produkt

Stack-based Buffer Overflow w GPAC — możliwe RCE bez uwierzytelnienia

CVE-2023-46932CRITICAL9.8PL ✓ten sam produkt

Heap Buffer Overflow w GPAC/MP4Box — RCE i DoS przez klasę str2ulong

CVE-2023-2840CRITICAL9.8ten sam produkt

NULL Pointer Dereference in GitHub repository gpac/gpac prior to 2.2.2.

CVE-2023-2838CRITICAL9.1ten sam produkt

Out-of-bounds Read in GitHub repository gpac/gpac prior to 2.2.2.

CVE-2023-46427 — GPAC: null pointer dereference w gf_dash_setup_period umożliwia RCE i DoS — CRITICAL 9.8 | CVEbaza.pl