支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1109 基础信息
漏洞信息
                                        # librtsp RTSP请求缓冲区溢出漏洞

## 概述
cijliu librtsp 在提交版本 2ec1a81ad65280568a0c7c16420d7c10fde13b04 及之前存在漏洞,位于 `rtsp_parse_request` 函数中,可导致缓冲区溢出。

## 影响版本
所有版本早于或等于提交版本 2ec1a81ad65280568a0c7c16420d7c10fde13b04 的 librtsp。由于项目采用滚动发布模式,无具体版本号信息。

## 细节
漏洞存在于 `rtsp_parse_request` 函数中,对输入数据处理不当,未进行有效边界检查,导致缓冲区溢出。攻击者需在本地进行利用。

## 影响
本地攻击者可能通过触发缓冲区溢出实现代码执行、程序崩溃或敏感信息泄露等后果。厂商已被告知但未响应。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
cijliu librtsp rtsp_parse_request buffer overflow
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was detected in cijliu librtsp up to 2ec1a81ad65280568a0c7c16420d7c10fde13b04. The impacted element is the function rtsp_parse_request. The manipulation results in buffer overflow. Attacking locally is a requirement. This product takes the approach of rolling releases to provide continious delivery. Therefore, version details for affected and updated releases are not available. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
未进行输入大小检查的缓冲区拷贝(传统缓冲区溢出)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1109 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1109 的情报信息

  • 标题: vuls_protocol/librtsp_rtsp_parse_request/librtsp_rtsp_parse_request.md at main · fizz-is-on-the-way/vuls_protocol · GitHub -- 🔗来源链接

    标签:related

    神龙速读:
                                            ### 关键信息总结

#### 1. 漏洞简介
- **漏洞名称**: librtsp rtsp_parse_request() 缓冲区溢出漏洞  
- **漏洞功能影响**: 攻击者可通过本地输入操作使用 `rtsp_parse_request` 函数造成接口不可用攻击  

#### 2. 版本信息
- **librtsp 版本**: commit `2ec1a81ad65280568a0c7c16420d7c10fde13b04` 及之前的版本  
- **环境**: Ubuntu 22.04  

#### 3. 漏洞复现步骤
- **构建**: 运行 `make -j4` 构建二进制文件  
- **复现指令**:  
    ```bash
    valgrind .example/demo send poc:afinet-replay poc RTSP 8554
    ```  
- **Valgrind 输出要点**: 报告存在条件跳转依赖未初始化值、堆内存泄漏和未初始化值的错误  

#### 4. 证明漏洞的有效性  
- 本页面不公开 POC,开发者可以通过邮箱联系获取。
    vuls_protocol/librtsp_rtsp_parse_request/librtsp_rtsp_parse_request.md at main · fizz-is-on-the-way/vuls_protocol · GitHub
  • https://vuldb.com/?ctiid.341701signaturepermissions-required

  • 标题: vuldb.com -- 🔗来源链接

    标签:vdb-entrytechnical-description

    神龙速读:
                                            从这个网页截图中,我们可以获取以下关于漏洞的关键信息:

- **HTTP Error 443**: 443端口通常用于HTTPS通信。HTTP 443错误可能表示以下问题:
  - 服务器的SSL/TLS证书可能存在问题,例如证书过期、不匹配或不受信任。
  - 可能存在防火墙或安全设置阻止了对443端口的访问。
  - 服务器可能没有正确配置以处理HTTPS请求。

- **General Message**: 
  - 页面显示“This page isn’t working”,表明页面未能正常加载。
  - 建议如果问题持续,联系网站所有者。

Markdown格式的信息如下:

```markdown
### HTTP Error 443

- **Description**: Indicates potential issues with HTTPS communication.
- **Possible Causes**:
  - SSL/TLS certificate issues (expired, mismatched, untrusted)
  - Firewall or security settings blocking port 443
  - Server misconfiguration for handling HTTPS requests

### General Message
- **Page Status**: This page isn’t working
- **Recommendation**: Contact the site owner if the problem continues.
```
    vuldb.com
  • https://vuldb.com/?submit.732599third-party-advisory
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1109
四、漏洞 CVE-2026-1109 的评论

暂无评论

发表评论