漏洞概述
近日,CVE 官方披露了一个影响 GPAC 多媒体框架的空指针解引用漏洞(CVE-2026-1415)。该漏洞存在于 src/media_tools/media_export.c 文件中的 gf_media_export_webvtt_metadata 函数,当处理特定输入参数时可导致程序崩溃,影响服务可用性。攻击者需具备本地低权限账户,且已有公开的利用代码。
漏洞详情
- CVE 编号:CVE-2026-1415
- 漏洞类型:空指针解引用(CWE-476)与资源释放问题(CWE-404)
- CVSS 评分:CVSS v4.0 基础分 4.8(中危),CVSS v3.1 基础分 3.3(低危)
- 影响版本:GPAC 2.4.0 及更早版本
影响范围
该漏洞影响 GPAC 开源项目中所有使用 media_export.c 模块并调用 gf_media_export_webvtt_metadata 函数的版本,具体为 2.4.0 及之前版本。受影响系统需运行 GPAC 相关工具或服务,且攻击者需能本地执行代码。
风险分析
由于漏洞触发条件为本地低权限用户操作特定参数(Name),可导致空指针解引用,进而引发应用程序崩溃,造成拒绝服务(DoS)。虽然不直接导致远程代码执行或信息泄露,但结合其他漏洞可能被用于辅助攻击。值得注意的是,目前已有公开的漏洞利用代码,增加了实际被滥用的风险。
修复建议
- 建议用户尽快升级至已修复该漏洞的 GPAC 新版本,或应用官方提供的补丁。相关修复提交 ID 为:
af951b892dfbaaa38336ba2eba6d6a42c25810fd。 - 若无法立即升级,可限制本地非特权用户对 GPAC 工具的访问权限,作为临时缓解措施。
