Katalog CVE

CVE-2026-52718

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

W GStreamer, w parserze kodeka AV1 w pakiecie gst-plugins-bad, znaleziono podatność na odmowę usługi. Funkcja gst_av1_parser_parse_tile_list_obu() przekazuje liczbę bajtów do API czytnika bitów, które oczekuje liczby bitów, co powoduje desynchronizację parsera. Zdalny atakujący może nakłonić użytkownika do otwarcia specjalnie spreparowanego pliku AV1, wywołując asercję i crash aplikacji.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego spowodowania awarii aplikacji korzystającej z GStreamer, co może prowadzić do przerwania działania usług multimedialnych lub aplikacji odtwarzających wideo.

Rekomendacja

Należy zaktualizować GStreamer oraz pakiet gst-plugins-bad do wersji zawierającej poprawkę usuwającą tę podatność. Do czasu aktualizacji unikać otwierania niezaufanych plików AV1.

Oryginalny opis (angielski, źródło NVD)

A denial of service vulnerability was found in GStreamer's AV1 codec parser in gst-plugins-bad. The gst_av1_parser_parse_tile_list_obu() function passes a byte count to a bit-reader API that expects a bit count, causing parser desynchronization. A remote attacker could trick a user into opening a specially crafted AV1 media file, triggering an assertion abort and causing the application to crash.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS