ALT-PU-2023-8678-2

BDU:2025-11470

HIGH7.2

Уязвимость мультимедийной библиотеки FFmpeg, связанная с неправильным контролем идентификаторов ресурсов («внедрение ресурсов»), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и нарушить её целостность

Published: 2025-09-22Modified: 2026-03-04

CVSS 3.xHIGH 7.2

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

References

CVE-2023-6605

BDU:2025-14437

HIGH7.5

Уязвимость мультимедийной библиотеки FFmpeg, связанная с разыменованием указателя NULL, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-11-18Modified: 2025-12-26

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2023-6603

BDU:2026-02727

MEDIUM4.7

Уязвимость мультимедийной библиотеки FFmpeg, связанная с неправильным контролем идентификаторов ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным

Published: 2026-03-10

CVSS 3.xMEDIUM 4.7

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

References

CVE-2023-6601

BDU:2026-02728

MEDIUM5.3

Уязвимость мультимедийной библиотеки FFmpeg, связанная с неправильным контролем идентификатора ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным

Published: 2026-03-10

CVSS 3.xMEDIUM 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

References

CVE-2023-6602

BDU:2026-02729

MEDIUM5.3

Уязвимость мультимедийной библиотеки FFmpeg, связанная с неправильным контролем идентификаторов ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2026-03-10

CVSS 3.xMEDIUM 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

References

CVE-2023-6604

CVE-2023-6601

MEDIUM4.7

A flaw was found in FFmpeg's HLS demuxer. This vulnerability allows bypassing unsafe file extension checks and triggering arbitrary demuxers via base64-encoded data URIs appended with specific file extensions.

Published: 2025-01-06Modified: 2025-11-03

CVSS 3.xMEDIUM 4.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

References

CVE-2023-6602

MEDIUM5.3

A flaw was found in FFmpeg's TTY Demuxer. This vulnerability allows possible data exfiltration via improper parsing of non-TTY-compliant input files in HLS playlists.

Published: 2024-12-31Modified: 2025-11-03

CVSS 3.xMEDIUM 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

References

CVE-2023-6603

HIGH7.5

A flaw was found in FFmpeg's HLS playlist parsing. This vulnerability allows a denial of service via a maliciously crafted HLS playlist that triggers a null pointer dereference during initialization.

Published: 2024-12-31Modified: 2025-08-21

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

References

CVE-2023-6604

MEDIUM5.3

A flaw was found in FFmpeg. This vulnerability allows unexpected additional CPU load and storage consumption, potentially leading to degraded performance or denial of service via the demuxing of arbitrary data as XBIN-formatted data without proper format validation.

Published: 2025-01-06Modified: 2025-11-03

CVSS 3.xMEDIUM 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

References

CVE-2023-6605

HIGH7.2

A flaw was found in FFmpeg's DASH playlist support. This vulnerability allows arbitrary HTTP GET requests to be made on behalf of the machine running FFmpeg via a crafted DASH playlist containing malicious URLs.

Published: 2025-01-06Modified: 2025-11-03

CVSS 3.xHIGH 7.2

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

References

Package update ffmpeg in branch sisyphus

Closed issues (10)

Уязвимость мультимедийной библиотеки FFmpeg, связанная с разыменованием указателя NULL, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость мультимедийной библиотеки FFmpeg, связанная с неправильным контролем идентификаторов ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

A flaw was found in FFmpeg's HLS demuxer. This vulnerability allows bypassing unsafe file extension checks and triggering arbitrary demuxers via base64-encoded data URIs appended with specific file extensions.

A flaw was found in FFmpeg's TTY Demuxer. This vulnerability allows possible data exfiltration via improper parsing of non-TTY-compliant input files in HLS playlists.

A flaw was found in FFmpeg's HLS playlist parsing. This vulnerability allows a denial of service via a maliciously crafted HLS playlist that triggers a null pointer dereference during initialization.

A flaw was found in FFmpeg. This vulnerability allows unexpected additional CPU load and storage consumption, potentially leading to degraded performance or denial of service via the demuxing of arbitrary data as XBIN-formatted data without proper format validation.

A flaw was found in FFmpeg's DASH playlist support. This vulnerability allows arbitrary HTTP GET requests to be made on behalf of the machine running FFmpeg via a crafted DASH playlist containing malicious URLs.