CVE-2026-33144GPAC是一款广泛使用的开源多媒体框架。在修复commit 86b0e36之前,GPAC MP4Box组件存在严重的堆缓冲区溢出漏洞。该漏洞位于utils/xml_bin_custom.c文件的gf_xml_parse_bit_sequence_bs函数中。攻击者可诱导用户打开包含恶意构造的<BS>(BitSequence)元素的NHML文件,从而触发堆越界写入。此漏洞可能被利用导致应用程序崩溃,或在特定条件下实现任意代码执行,威胁系统安全。
该漏洞的根源位于GPAC源代码的utils/xml_bin_custom.c文件中,具体涉及gf_xml_parse_bit_sequence_bs函数。当MP4Box工具处理NHML(XML格式媒体描述)文件时,该函数负责解析XML中的<BS>(BitSequence)元素。由于代码在计算需要写入堆缓冲区的比特流数据大小时存在逻辑缺陷,未能正确验证输入数据长度与目标缓冲区大小的关系,导致在执行memcpy或类似写操作时发生堆越界写入。攻击者可以通过构造特殊的NHML文件,控制写入的数据内容及长度,从而破坏堆内存结构。尽管CVSS v3.1评分为5.8(中危),且攻击向量为本地(AV:L),结合用户交互(UI:R),攻击者仍可通过钓鱼邮件等方式诱导受害者打开恶意文件,进而利用该漏洞造成进程崩溃(拒绝服务)或执行任意代码。