CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-47607

Critical
Published: Translated: NVD NIST

Summary

W bibliotece GStreamer wykryto przepełnienie bufora stosu w funkcji gst_opus_dec_parse_header. Problem występuje, gdy liczba kanałów (n_channels) przekracza 64, co prowadzi do zapisu poza granicami bufora pos o rozmiarze 64.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do nadpisania adresu EIP w stosie, co stwarza ryzyko wykonania złośliwego kodu. Organizacje powinny być świadome potencjalnych ataków, które mogą wykorzystać tę lukę.

Recommendation

Zaleca się aktualizację biblioteki GStreamer do wersji 1.24.10 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

GStreamer is a library for constructing graphs of media-handling components. stack-buffer overflow has been detected in the gst_opus_dec_parse_header function within `gstopusdec.c'. The pos array is a stack-allocated buffer of size 64. If n_channels exceeds 64, the for loop will write beyond the boundaries of the pos array. The value written will always be GST_AUDIO_CHANNEL_POSITION_NONE. This bug allows to overwrite the EIP address allocated in the stack. This vulnerability is fixed in 1.24.10.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS