GPAC bis 26.1.x MP4Box /filters/sei_load.c gf_sei_load_from_state_internal Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.0 | $0-$5k | 3.41- |
Zusammenfassung
Eine Schwachstelle wurde in GPAC bis 26.1.x gefunden. Sie wurde als kritisch eingestuft. Hierbei geht es um die Funktion gf_sei_load_from_state_internal der Datei /filters/sei_load.c der Komponente MP4Box. Die Veränderung resultiert in Pufferüberlauf.
Diese Schwachstelle wird als CVE-2025-60464 gehandelt. Ausserdem ist ein Exploit verfügbar.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In GPAC bis 26.1.x wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um die Funktion gf_sei_load_from_state_internal der Datei /filters/sei_load.c der Komponente MP4Box. Mit der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-416. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
A use-after-free in the gf_sei_load_from_state_internal function (/filters/sei_load.c) of GPAC Project/MP4Box before 26.02.0 allows attackers to cause a Denial of Service (DoS) via supplying a crafted MPEG-2 TS file.Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 26.09.2025 als CVE-2025-60464 geführt. Das Ausnutzen gilt als leicht. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Unter github.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 26.02.0 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 8f404bd581e455267482f86272169a742f654b97 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/gpac/gpac/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.0
VulDB Base Score: 5.5
VulDB Temp Score: 5.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-416 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: GPAC 26.02.0
Patch: 8f404bd581e455267482f86272169a742f654b97
Timeline
26.09.2025 CVE zugewiesen25.06.2026 VulDB Eintrag erstellt
26.06.2026 Advisory veröffentlicht
26.06.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: 3278
Status: Bestätigt
CVE: CVE-2025-60464 (🔒)
GCVE (CVE): GCVE-0-2025-60464
GCVE (VulDB): GCVE-100-374035
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 26.06.2026 01:18Anpassungen: 26.06.2026 01:18 (63)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.