一、 漏洞 CVE-2025-6663 基础信息
漏洞信息
                                        # GStreamer H266 编解码器解析基于堆栈的缓冲区溢出远程代码执行漏洞

## 概述
GStreamer H266 编解码器解析堆栈缓冲区溢出漏洞。该漏洞允许远程攻击者在受影响的GStreamer安装上执行任意代码。但需要与这个库进行交互才能利用此漏洞,具体攻击向量取决于实现方式。

## 影响版本
未具体列出受影响的GStreamer版本。

## 细节
漏洞具体存在于H266 sei消息的解析中。问题源于对用户提供的数据长度缺乏适当的验证,在将数据复制到固定长度的堆栈缓冲区之前没有进行验证。攻击者可以利用此漏洞在当前进程中执行代码。

## 影响
攻击者可以通过向受影响的GStreamer安装发送特定的H266 sei消息,导致堆栈缓冲区溢出,从而执行任意代码。此漏洞已被跟踪为ZDI-CAN-27381。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
GStreamer H266 Codec Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GStreamer H266 Codec Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of GStreamer. Interaction with this library is required to exploit this vulnerability but attack vectors may vary depending on the implementation. The specific flaw exists within the parsing of H266 sei messages. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-27381.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
栈缓冲区溢出
来源:美国国家漏洞数据库 NVD
漏洞标题
GStreamer 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GStreamer是GStreamer开源的一套用于处理流媒体的框架。 GStreamer存在安全漏洞,该漏洞源于解析H266 sei消息时未正确验证用户提供数据的长度,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-6663 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-6663 的情报信息