CVE-2026-40614 CVSS 8.8 高危

CVE-2026-40614 PJSIP Opus解码堆缓冲区溢出漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40614

漏洞类型

堆缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PJSIP (pjproject)

漏洞概述

PJSIP是一个开源多媒体通信库。在2.16及更早版本中，Opus编解码器解码路径存在堆缓冲区溢出漏洞。由于FEC解码缓冲区的大小基于PCM公式计算（仅960字节），但处理函数可接收最大1280字节的编码帧，导致在拷贝数据时发生越界写入。攻击者可诱导受害者处理恶意音频流，从而触发内存破坏，可能导致远程代码执行或服务拒绝。

技术细节

该漏洞源于PJSIP在Opus解码时对FEC缓冲区（dec_frame[].buf）的分配逻辑错误。缓冲区大小计算公式为(sample_rate/1000) * 60 * channel_cnt * 2，在8kHz单声道下仅分配960字节。然而，codec_parse()通过opus_repacketizer_out_range()输出的帧大小可达MAX_ENCODED_PACKET_SIZE（1280字节）。在codec_decode()函数中，三次pj_memcpy()调用直接拷贝input->size字节数据，未检查目标缓冲区边界。当输入数据大于960字节时，即发生堆溢出。由于CVSS评分为8.8，攻击者可通过网络无需认证发送特制RTP包利用此漏洞，覆盖堆上的关键数据结构，实现远程代码执行。

攻击链分析

STEP 1

侦查

攻击者扫描网络，识别使用PJSIP 2.16或更早版本的VoIP服务器或客户端。

STEP 2

制作

攻击者构造包含特制Opus音频帧的RTP数据包，该帧大小超过960字节（例如1280字节），旨在触发缓冲区溢出。

STEP 3

传递

攻击者通过网络向目标设备发送恶意数据包，可能通过建立语音通话或发送未经请求的媒体流。

STEP 4

执行

目标设备的PJSIP库调用codec_decode()处理音频帧，执行未检查的pj_memcpy()，导致堆溢出并覆盖返回地址或函数指针。

STEP 5

达成目标

攻击者成功控制程序执行流，执行任意代码（RCE）或导致应用程序崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-40614
 * Demonstrating the buffer calculation mismatch.
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#define MAX_ENCODED_PACKET_SIZE 1280
#define SAMPLE_RATE 8000
#define CHANNEL_CNT 1

// Vulnerable buffer size calculation logic from PJSIP
size_t calculate_vulnerable_buf_size() {
    return (SAMPLE_RATE / 1000) * 60 * CHANNEL_CNT * 2; // Results in 960 bytes
}

void simulate_codec_decode(char* input_payload, size_t input_size) {
    size_t buf_size = calculate_vulnerable_buf_size();
    char* dec_frame_buf = (char*)malloc(buf_size);

    printf("Allocated buffer size: %zu bytes\n", buf_size);
    printf("Input payload size: %zu bytes\n", input_size);

    if (input_size > buf_size) {
        printf("[!] EXPLOIT: Heap buffer overflow detected!\n");
        // This mimics the vulnerable pj_memcpy behavior
        memcpy(dec_frame_buf, input_payload, input_size);
    } else {
        memcpy(dec_frame_buf, input_payload, input_size);
    }

    free(dec_frame_buf);
}

int main() {
    // Simulate a large Opus packet (1280 bytes)
    char malicious_payload[MAX_ENCODED_PACKET_SIZE];
    memset(malicious_payload, 'A', sizeof(malicious_payload));

    simulate_codec_decode(malicious_payload, sizeof(malicious_payload));
    return 0;
}

影响范围

PJSIP <= 2.16

防御指南

临时缓解措施

建议立即升级PJSIP (pjproject) 到修复了该漏洞的版本。如果无法立即升级，建议限制对受影响系统的网络访问，仅允许可信的SIP/RTP流量，并在防火墙层面部署深度包检测（DPI）规则以拦截异常大小的Opus数据包，同时监控应用进程的异常崩溃情况。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表