CVE-2025-70116
MediumCVSS 4.3Summary
W GPAC MP4Box występuje dereferencja wskaźnika NULL podczas analizy niektórych skróconych plików MP4. Nieznany lub nieprawidłowy wpis stsd może prowadzić do brakujących pól deskryptora, co skutkuje wywołaniem strlen() na wskaźniku NULL i powoduje awarię.
Risk Assessment
Organizacja może doświadczyć awarii aplikacji podczas przetwarzania uszkodzonych plików MP4, co może prowadzić do przerwy w dostępności usług.
Recommendation
Zaleca się wprowadzenie walidacji plików MP4 przed ich przetwarzaniem oraz aktualizację oprogramowania GPAC do najnowszej wersji, aby zminimalizować ryzyko wystąpienia tej podatności.
Original NVD description (English source)
A NULL pointer dereference in GPAC MP4Box: when parsing certain truncated MP4 files, an unknown/invalid stsd entry can result in missing descriptor fields (e.g., codec/mime/profile strings). gf_media_map_esd then calls strlen() on a NULL pointer, triggering a crash (ASan SEGV).

