漏洞概述 漏洞名称: CVE-2025-60483 漏洞类型: NULL Pointer Dereference(空指针解引用) 描述: 处理一个精心构造的AC-4流会触发 函数中的空指针解引用,当访问包含无效子流组索引的演示数据时,导致MP4Box崩溃。 影响范围 受影响组件: - - 函数: 受影响产品: MP4Box (GPAC Multimedia Open Source Project) 受影响版本: 2.5-DEV#ew1617-g856674b22-master; commit 。任何未应用修复提交的等效代码库均受影响。 攻击条件: 攻击者提供一个包含无效子流组引用的精心构造的AC-4流文件。需要本地访问;受害者必须调用 或任何等效的DASH分段命令,触发AC-4解复用和演示解析路径。 影响: 近空指针解引用(读取地址 )导致立即进程崩溃,造成拒绝服务。没有观察到任意代码执行;故障访问是一个近空读取,无法用于控制流劫持。 修复方案 修复/缓解状态: 修复添加了对子流组索引的边界验证和对演示指针的空检查,在 函数中。用户应升级到包含提交 的发布版本或直接应用该补丁。 参考链接 问题: github.com/gpac/gpac/issues/33 PoC: github.com/sigdevel/pocs/blob/... 修复: github.com/gpac/gpac/commit/13... 代码块