FFmpeg 2.x allows remote attackers to conduct cross-origin attacks and read arbitrary files by using the subfile protocol in an HTTP Live Streaming (HLS) M3U8 file, leading to an external HTTP request in which the URL string contains an arbitrary line of a local file.

Metrics

No CVSS v4.0

No CVSS v3.1

Attack Vector Local

Attack Complexity Low

Privileges Required None

Scope Unchanged

Confidentiality Impact High

Integrity Impact None

Availability Impact None

User Interaction Required

Access Vector Network

Access Complexity Medium

Authentication None

Confidentiality Impact Partial

Integrity Impact None

Availability Impact None

This CVE is not in the KEV list.

Key SSVC decision points have not yet been added.

Affected Vendors & Products

Vendors Products
Canonical
  • Ubuntu Linux
Ffmpeg
  • Ffmpeg
Opensuse
  • Leap

Configuration 1 [-]

OR cpe:2.3:a:ffmpeg:ffmpeg:2.0:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.7:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.7:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.8:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.7:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.8:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.9:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.10:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.11:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.12:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.13:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.14:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.15:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.16:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.7:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.8:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.9:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.10:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.11:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.12:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.7:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.8:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.9:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.5:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.6:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.7:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.4:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.8:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.8:dev:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.1:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.2:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.3:*:*:*:*:*:*:*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.4:*:*:*:*:*:*:*

Configuration 2 [-]

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:lts:*:*:*

Configuration 3 [-]

cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:*

No data.

References
Link Providers
http://habrahabr.ru/company/mailru/blog/274855 cve-icon cve-icon
http://lists.opensuse.org/opensuse-security-announce/2016-01/msg00034.html cve-icon cve-icon
http://www.debian.org/security/2016/dsa-3506 cve-icon cve-icon
http://www.openwall.com/lists/oss-security/2016/01/14/1 cve-icon cve-icon
http://www.securityfocus.com/bid/80501 cve-icon cve-icon
http://www.securitytracker.com/id/1034932 cve-icon cve-icon
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.529036 cve-icon cve-icon
http://www.ubuntu.com/usn/USN-2944-1 cve-icon cve-icon
https://security.gentoo.org/glsa/201606-09 cve-icon cve-icon
https://security.gentoo.org/glsa/201705-08 cve-icon cve-icon
https://www.kb.cert.org/vuls/id/772447 cve-icon cve-icon
History

No history.

cve-icon MITRE

Status: PUBLISHED

Assigner: mitre

Published:

Updated: 2024-08-05T23:10:40.228Z

Reserved: 2016-01-14T00:00:00

Link: CVE-2016-1898

cve-icon Vulnrichment

No data.

cve-icon NVD

Status : Modified

Published: 2016-01-15T03:59:23.923

Modified: 2024-11-21T02:47:17.250

Link: CVE-2016-1898

cve-icon Redhat

No data.