CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-47597

Critical
Published: Translated: NVD NIST

Summary

W bibliotece GStreamer wykryto podatność typu OOB-read w funkcji qtdemux_parse_samples, która może odczytywać dane poza granicami bufora stream->stco. Problem ten występuje podczas analizy pliku GHSL-2024-245_crash1.mp4, co może prowadzić do odczytu do 8 bajtów poza dozwolonym zakresem.

Risk Assessment

Ta podatność może prowadzić do nieautoryzowanego odczytu pamięci, co stwarza ryzyko wycieku danych lub destabilizacji aplikacji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z wykorzystaniem tej biblioteki w swoich systemach.

Recommendation

Zaleca się aktualizację biblioteki GStreamer do wersji 1.24.10, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z tej biblioteki w celu identyfikacji potencjalnych zagrożeń.

Original NVD description (English source)

GStreamer is a library for constructing graphs of media-handling components. An OOB-read has been detected in the function qtdemux_parse_samples within qtdemux.c. This issue arises when the function qtdemux_parse_samples reads data beyond the boundaries of the stream->stco buffer. The following code snippet shows the call to qt_atom_parser_get_offset_unchecked, which leads to the OOB-read when parsing the provided GHSL-2024-245_crash1.mp4 file. This issue may lead to read up to 8 bytes out-of-bounds. This vulnerability is fixed in 1.24.10.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS