漏洞概述 漏洞名称: CVE-2025-55652 - Heap Buffer Overflow in GPAC MP4Box VP Configuration Handling 漏洞描述: 处理包含畸形VP编解码器配置数据的MP4文件时,可能触发 函数中的堆缓冲区溢出,导致崩溃和潜在内存损坏。 CWE: CWE-122 - Heap-based Buffer Overflow 受影响组件: 受影响产品: MP4Box (GPAC Multimedia Open Source Project) 受影响版本: MP4Box 2.4及更早版本 攻击条件: 攻击者提供包含畸形VP编解码器配置数据的MP4文件。 影响: 直接观察到的影响是进程终止导致的拒绝服务。由于漏洞是越界堆写入,内存损坏和潜在任意代码执行不能排除。 影响范围 受影响版本: MP4Box 2.4及更早版本 影响: 进程终止导致的拒绝服务,内存损坏和潜在任意代码执行 修复方案 修复状态: 该问题已在GPAC commit 中修复 参考链接: - Issue: github.com/gpac/gpac/issues/3242 - PoC: github.com/sigdevl/pocs/blob/... - Fix: github.com/gpac/gpac/commit/ad3b541bf38c8f0ef67544509598f8207ea1207 POC代码