漏洞概述 漏洞名称: CVE-2025-55651 - NULL Pointer Dereference in GPAC MP4Box 漏洞类型: 空指针解引用 漏洞描述: 处理经过精心构造或截断的MP4文件时,MP4Box 可以在 中触发空指针解引用,导致拒绝服务。 影响范围 受影响组件: - isomedia/isom_read.c:2754 - 函数: gf_isom_get_user_data_count() 受影响产品: MP4Box (GPAC多媒体开源项目) 受影响版本: MP4Box 2.4及更早版本(GPAC构建在commit: 46be5f928660530d5332cd2f1d177208737558ef) 攻击条件: 攻击者提供精心构造或截断的MP4文件。该问题可以通过以下命令在本地重现: 影响: 直接观察到的影响是进程终止导致的拒绝服务。崩溃是零页上的空指针解引用,没有观察到任意代码执行的证据。 修复方案 修复状态: 该问题已在GPAC的commit中修复: 建议: 用户应更新到包含此commit或之后的GPAC构建。受影响的代码应验证UUID指针,并在调用用户数据UUID值的比较例程之前拒绝损坏/截断的MP4结构。 参考链接 Issue: github.com/gpac/gpac/issues/31 PoC: github.com/sigdevel/pocs/blob/... Fix: github.com/gpac/gpac/commit/92... 代码块