CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-47776

Critical
Published: Translated: NVD NIST

Summary

W bibliotece GStreamer odkryto podatność typu OOB-read w funkcji gst_wavparse_cue_chunk. Problem wynika z niezgodności między rozmiarem bufora danych a wartością rozmiaru przekazywaną do funkcji, co może prowadzić do odczytu poza granicami bufora.

Risk Assessment

Podatność ta może prowadzić do awarii systemu (denial of service) lub wycieku wrażliwych danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację biblioteki GStreamer do wersji 1.24.10, aby usunąć tę podatność.

Original NVD description (English source)

GStreamer is a library for constructing graphs of media-handling components. An OOB-read has been discovered in gst_wavparse_cue_chunk within gstwavparse.c. The vulnerability happens due to a discrepancy between the size of the data buffer and the size value provided to the function. This mismatch causes the comparison if (size < 4 + ncues * 24) to fail in some cases, allowing the subsequent loop to access beyond the bounds of the data buffer. The root cause of this discrepancy stems from a miscalculation when clipping the chunk size based on upstream data size. This vulnerability allows reading beyond the bounds of the data buffer, potentially leading to a crash (denial of service) or the leak of sensitive data. This vulnerability is fixed in 1.24.10.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS