製品・ソフトウェアに関する情報
Vulnerability Search
GPACにおけるヒープベースのバッファオーバーフローの脆弱性
Title GPACにおけるヒープベースのバッファオーバーフローの脆弱性
Summary

GPACマルチメディアオープンソースプロジェクトのGPAC Project/MP4Box 2.5-DEV-rev1593-gfe88c3545-masterはバッファオーバーフローの影響を受けます。この影響により、サービス拒否(ローカル)を引き起こす可能性があります。影響を受けるコンポーネントはfilter_core/filter_pid.cの574-580行目にある関数gf_filter_pid_inst_swap_delete_task()で、PIDインスタンスのスワップおよび削除クリーンアップ中に解放済みオブジェクトに不適切にアクセスし、ヒープのUse-After-Freeが発生します。攻撃ベクターはローカル(AV:L)であり、MP4Boxで巧妙に作成されたMPEG-2 TSまたはMP4ファイルを処理する認証済みのローカルユーザーがフィルターの終了処理(PIDインスタンスのスワップおよび削除)時にこのバグを引き起こし、クラッシュさせることができます。GPACのMP4Boxにおいて、filter_core/filter_pid.cのgf_filter_pid_inst_swap_delete_task()関数は、スワップおよび削除操作後のPIDインスタンスのクリーンアップ時に解放済みオブジェクトを参照する可能性があります。巧妙に作成された入力(例:不正なMPEG-2 TS)がヒープのUse-After-Freeおよびクラッシュを引き起こし、悪用される恐れがあります。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 24, 2026, midnight
Registration Date June 29, 2026, 11:22 a.m.
Last Update June 29, 2026, 11:22 a.m.
CVSS3.0 : 警告
Score 5.5
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Affected System
GPAC
GPAC 26.02.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載		 June 29, 2026, 11:22 a.m.
NVD Vulnerability Information
CVE-2025-60468
Summary

GPAC Multimedia Open Source Project GPAC Project/MP4Box 2.5-DEV-rev1593-gfe88c3545-master is affected by: Buffer Overflow. The impact is: cause a denial of service (local). The component is: filter_core/filter_pid.c (L:574-580): function gf_filter_pid_inst_swap_delete_task() improperly accesses freed objects during PID instance swap/delete cleanup, leading to heap use-after-free. The attack vector is: Local (AV:L): a local, authenticated user who processes a specially crafted MPEG-2 TS/MP4 file with MP4Box can trigger the bug during filter teardown (PID instance swap/delete), causing a crash. ¶¶ In GPAC s MP4Box, gf_filter_pid_inst_swap_delete_task() in filter_core/filter_pid.c may dereference objects after they have been freed when cleaning up PID instances after a swap/delete operation. Crafted inputs (e.g., malformed MPEG-2 TS) can trigger a heap use-after-free and crash; exploitation may be possible.

Publication Date June 25, 2026, 7:16 a.m.
Registration Date June 27, 2026, 4:24 a.m.
Last Update June 27, 2026, 4:56 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:gpac:gpac:*:*:*:*:*:*:*:* 26.02.0
Related information, measures and tools
Common Vulnerabilities List