漏洞|事件危害

FFmpeg是一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序。采用LGPL或GPL许可证。它提供了录制、转换以及流化音视频的完整解决方案。它包含了非常先进的音频/视频编解码库libavcodec，为了保证高可移植性和编解码质量，libavcodec里很多codec都是从头开发的。

FFmpeg 2.x是一款多媒体编码、解码框架。在现有环境中，百度云等大厂商均在使用。此漏洞允许攻击者通过上传构造的hls切片索引文件，远程窃取服务器端本地文件。FFmpeg 2.x被爆高危漏洞（CVE-2016-1897、CVE-2016-1898），黑客可通过上传构造的hls切片索引文件，远程窃取服务器端本地文件

漏洞|预警

前提：使用了FFmpeg流媒体工具

假如用户使用了FFmeg流媒体工具，攻击者可以上传特制的视频文件。在视频文件中插入想要读取的文件路径。

当用户网站接收到上传文件后，通过FFmeg就可以自动读取相对应路径文件。

a. 测试环境：

上传测试文件

b. 结果：

网页poc执行测试结果，读取/etc/passwd文件内容。

漏洞|解决方案

FFmpeg已经及时发布修复版本，可以通过更新版本修复漏洞。

关注梦之想官方微信公众号获取最新漏洞动态：XWAYTech