漏洞概述 漏洞编号: CVE-2025-52293 漏洞类型: 内存安全漏洞 受影响组件: GPAC MP4Box HEVC SPS Parser 漏洞描述: 处理包含畸形HEVC SPS数据的MP4文件时, 函数在解析视频配置时未能安全处理恶意MP4文件中的HEVC SPS数据。在导入和拆分处理过程中,畸形SPS数据到达HEVC解析器并导致无效的内存读取。AddressSanitizer报告了一个由 中的 内存访问引起的 。崩溃发生在MP4Box通过isomedia输入和NAL替换/配置路径处理恶意文件时。 影响范围 受影响产品: MP4Box (GPAC Multimedia Open Source Project) 受影响版本: MP4Box 2.4及更早版本(GPAC构建在commit: 8a0d5b43c242fe4bfb88530e4c9afef37114161) 攻击条件: 攻击者提供一个包含畸形HEVC SPS NAL单元的MP4文件。该问题可以本地复现: 无需提升权限: 当受害者手动处理恶意MP4文件,或自动化工作流程在攻击者控制的媒体上调用MP4Box时,需要用户交互。 影响: 直接观察到的影响是由于进程终止导致的拒绝服务。本地CVE请求将问题分类为缓冲区溢出/内存安全违规。观察到的ASAN跟踪显示无效读取;没有观察到任意代码执行。 修复方案 修复状态: 问题已在GPAC commit中修复: 建议: 用户应更新到包含此commit或之后的GPAC构建。解析器应验证HEVC SPS比特流边界,并在从比特流读取字段之前拒绝畸形SPS/NAL数据。 参考链接 Issue: github.com/gpac/gpac/issues/31 PoC: github.com/sigdevel/pocs/blob/... Fix: github.com/gpac/gpac/commit/d0... Credit @sigdevel