【高危】- FFmpeg 曝任意文件读取漏洞(暂无CVE编号)
■ 漏洞描述
最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可远程利用导致本地文件曝光。
■ 影响范围
FFmpeg 2.6.8、3.2.2、3.2.5版本。
■ 漏洞修复
目前官方最新版本为3.3.2,建议用户更新到最新版本,官方版本地址:https://ffmpeg.org/。
■ 缓解措施
将file://等危险协议类型添加到黑名单,禁止读取高风险文件信息。
■ 漏洞详情
https://hackerone.com/reports/242831。
最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可远程利用导致本地文件曝光。
■ 影响范围
FFmpeg 2.6.8、3.2.2、3.2.5版本。
■ 漏洞修复
目前官方最新版本为3.3.2,建议用户更新到最新版本,官方版本地址:https://ffmpeg.org/。
■ 缓解措施
将file://等危险协议类型添加到黑名单,禁止读取高风险文件信息。
■ 漏洞详情
https://hackerone.com/reports/242831。