漏洞概述 漏洞编号:CVE-2026-56211 漏洞描述:在libavm中发现了一个远程代码执行漏洞。该漏洞存在于AV1编码器SVC层上下文处理中。编码器控制路径用于设置活动SVC层ID缺乏充分的边界验证,允许使用超出范围的spatial/temporal层选择来使cr_set_layer_context()在非存在的LAYER_CONTEXT实体上操作。 严重程度:高 状态:NEW 影响范围 受影响组件:libavm 受影响版本:自2018-01-24以来的所有版本,包括commit 85899862d0 (pre-v1.0.0) 测试环境:v3.13.3-389-gsc2644e7fe 修复版本:v3.14.0 操作系统:Linux 硬件:All 修复方案 修复版本:v3.14.0 修复提交:commit 85899862d0 修复内容:添加了对SVC层上下文数组的边界检查 POC代码 其他信息 报告者:The FuzzAnything Team PSIRT Ticket:PSIRT-SUPT-1719 报告时间:2026-06-19 15:56 UTC 修改时间:2026-06-19 17:41 UTC CC List:6 users 固定版本:未指定 关闭原因:未指定 环境:未指定 最后关闭:未指定 Embargoed:未指定 附件 附件链接:Terms of Use 备注 需要登录才能查看或更改此bug。