Vulnerabilidad en FFmpeg (CVE-2017-9993)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
28/06/2017
Última modificación:
20/04/2025
Descripción
Ffmpeg en sus versiones anteriores a la 2.8.12, 3.0.x y 3.1.x en sus versiones anteriores a la 3.1.9, 3.2.x en sus versiones anteriores a la 3.2.6, y 3.3.x en sus versiones anteriores a la 3.3.2 no restringe adecuadamente nombre de archivos con extensiones HTTP Live Streaming y nombres Demuxer, lo que permite a un atacante remoto leer archivo aleatorios mediante la manipulación de los datos de la lista de reproducción.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 2.8.12 (excluyendo) | |
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 3.0 (incluyendo) | 3.1.9 (excluyendo) |
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 3.2 (incluyendo) | 3.2.6 (excluyendo) |
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 3.3 (incluyendo) | 3.3.2 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.debian.org/security/2017/dsa-3957
- http://www.securityfocus.com/bid/99315
- https://github.com/FFmpeg/FFmpeg/commit/189ff4219644532bdfa7bab28dfedaee4d6d4021
- https://github.com/FFmpeg/FFmpeg/commit/a5d849b149ca67ced2d271dc84db0bc95a548abb
- https://lists.debian.org/debian-lts-announce/2019/01/msg00006.html
- http://www.debian.org/security/2017/dsa-3957
- http://www.securityfocus.com/bid/99315
- https://github.com/FFmpeg/FFmpeg/commit/189ff4219644532bdfa7bab28dfedaee4d6d4021
- https://github.com/FFmpeg/FFmpeg/commit/a5d849b149ca67ced2d271dc84db0bc95a548abb
- https://lists.debian.org/debian-lts-announce/2019/01/msg00006.html