CVE-2024-22862, CVE-2024-22860 Integer overflow vulnerability in FFmpeg leads to Remote Code Execution

Severity: N/A
CVSSv3 Score: N/A
Vector: N/A
Mô tả: 
FFmpeg là dự án nguồn mở miễn phí được sử dụng rộng rãi để xử lý các tệp đa phương tiện (video, âm thanh, luồng media...). FFmpeg hiện đang tồn tại ba lỗ hổng, hai trong số đó được đánh giá ở mức nghiêm trọng.

Hai lỗ hổng có mã định danh CVE-2024-22860 và CVE-2024-22862 đều là các lỗ hổng tràn số nguyên (Integer overflow) có thể dẫn tới tấn công thực thi mã từ xa. Cụ thể CVE-2024-22860 cho phép tấn công qua thành phần jpegxl_anim_read_packet trong trình giải mã JPEG XL Animation. Còn CVE-2024-22860 thông qua JJPEG XL Parser.

Lỗ hổng còn lại CVE-2024-22861, với mức độ nghiêm trọng thấp hơn có thể dẫn đến tấn công từ chối dịch vụ (DoS) thông qua mô-đun avcodec/osq.

Sản phẩm bị ảnh hưởng:
Tất cả các phiên bản của FFmpeg < n6.1

Sản phẩm không bị ảnh hưởng:
FFmpeg phiên bản n6.1.

Cách khắc phục:
Các sysadmin có sử dụng FFmpeg cần nâng cấp lên phiên bản n6.1 để tránh rủi ro bị tấn công.

Tham khảo:
https://nvd.nist.gov/vuln/detail/CVE-2024-22862
https://nvd.nist.gov/vuln/detail/CVE-2024-22860
https://whitehat.vn/threads/hai-lo-hong-thuc-thi-ma-nghiem-trong-trong-ffmpeg-cve-2024-22860-cve-2024-22862.17822/