CVE-2026-52718
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W GStreamer, w parserze kodeka AV1 w pakiecie gst-plugins-bad, znaleziono podatność na odmowę usługi. Funkcja gst_av1_parser_parse_tile_list_obu() przekazuje liczbę bajtów do API czytnika bitów, które oczekuje liczby bitów, co powoduje desynchronizację parsera. Zdalny atakujący może nakłonić użytkownika do otwarcia specjalnie spreparowanego pliku AV1, wywołując asercję i crash aplikacji.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego spowodowania awarii aplikacji korzystającej z GStreamer, co może prowadzić do przerwania działania usług multimedialnych lub aplikacji odtwarzających wideo.
Rekomendacja
Należy zaktualizować GStreamer oraz pakiet gst-plugins-bad do wersji zawierającej poprawkę usuwającą tę podatność. Do czasu aktualizacji unikać otwierania niezaufanych plików AV1.
Oryginalny opis (angielski, źródło NVD)
A denial of service vulnerability was found in GStreamer's AV1 codec parser in gst-plugins-bad. The gst_av1_parser_parse_tile_list_obu() function passes a byte count to a bit-reader API that expects a bit count, causing parser desynchronization. A remote attacker could trick a user into opening a specially crafted AV1 media file, triggering an assertion abort and causing the application to crash.

