CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-47598

Critical
Published: Translated: NVD NIST

Summary

W bibliotece GStreamer odkryto podatność typu OOB-read w funkcji qtdemux_merge_sample_table w pliku qtdemux.c. Problem polega na tym, że rozmiar bufora stts nie jest odpowiednio sprawdzany przed odczytem stts_duration, co pozwala na odczytanie 4 bajtów poza granicami stts->data.

Risk Assessment

Ta podatność może prowadzić do nieautoryzowanego odczytu pamięci, co stwarza ryzyko wycieku danych lub destabilizacji aplikacji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z wykorzystaniem tej luki.

Recommendation

Zaleca się aktualizację biblioteki GStreamer do wersji 1.24.10 lub nowszej, aby usunąć tę podatność. Regularne monitorowanie i aktualizowanie używanych bibliotek jest kluczowe dla zapewnienia bezpieczeństwa systemów.

Original NVD description (English source)

GStreamer is a library for constructing graphs of media-handling components. An OOB-read vulnerability has been discovered in the qtdemux_merge_sample_table function within qtdemux.c. The problem is that the size of the stts buffer isn’t properly checked before reading stts_duration, allowing the program to read 4 bytes beyond the boundaries of stts->data. This vulnerability reads up to 4 bytes past the allocated bounds of the stts array. This vulnerability is fixed in 1.24.10.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS