CVE-2016-1898

FFmpeg 2.x allows remote attackers to conduct cross-origin attacks and read arbitrary files by using the subfile protocol in an HTTP Live Streaming (HLS) M3U8 file, leading to an external HTTP request in which the URL string contains an arbitrary line of a local file.

Published: Jan 15, 2016
Updated: Apr 13, 2023
CVE: CVE-2016-1898
Severity: Medium
Exploit:

CVSS v3:

Severity: Medium
Score: 5.5
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVSS v2:

Severity: Low
Score: 4.3
AV:N/AC:M/Au:N/C:P/I:N/A:N

CWEs:

CWE-200

Affected Software
References

Software	From	Fixed in
ffmpeg / ffmpeg	2.2.12	2.2.12.x
ffmpeg / ffmpeg	2.4.11	2.4.11.x
ffmpeg / ffmpeg	2.3	2.3.x
ffmpeg / ffmpeg	2.6.3	2.6.3.x
ffmpeg / ffmpeg	2.2.8	2.2.8.x
ffmpeg / ffmpeg	2.3.3	2.3.3.x
ffmpeg / ffmpeg	2.4.4	2.4.4.x
ffmpeg / ffmpeg	2.0.7	2.0.7.x
ffmpeg / ffmpeg	2.2	2.2.x
ffmpeg / ffmpeg	2.6.6	2.6.6.x
ffmpeg / ffmpeg	2.4.1	2.4.1.x
ffmpeg / ffmpeg	2.8.4	2.8.4.x
ffmpeg / ffmpeg	2.0.4	2.0.4.x
ffmpeg / ffmpeg	2.2.4	2.2.4.x
ffmpeg / ffmpeg	2.1.6	2.1.6.x
ffmpeg / ffmpeg	2.2.6	2.2.6.x
ffmpeg / ffmpeg	2.4.9	2.4.9.x
ffmpeg / ffmpeg	2.7.1	2.7.1.x
ffmpeg / ffmpeg	2.2.3	2.2.3.x
ffmpeg / ffmpeg	2.4.6	2.4.6.x
ffmpeg / ffmpeg	2.5.6	2.5.6.x
ffmpeg / ffmpeg	2.3.5	2.3.5.x
ffmpeg / ffmpeg	2.5.4	2.5.4.x
ffmpeg / ffmpeg	2.4.10	2.4.10.x
ffmpeg / ffmpeg	2.2.1	2.2.1.x
ffmpeg / ffmpeg	2.2.15	2.2.15.x
ffmpeg / ffmpeg	2.6.2	2.6.2.x
ffmpeg / ffmpeg	2.7	2.7.x
ffmpeg / ffmpeg	2.4.3	2.4.3.x
ffmpeg / ffmpeg	2.0	2.0.x
ffmpeg / ffmpeg	2.0.3	2.0.3.x
ffmpeg / ffmpeg	2.2.14	2.2.14.x
ffmpeg / ffmpeg	2.5	2.5.x
ffmpeg / ffmpeg	2.6	2.6.x
ffmpeg / ffmpeg	2.5.5	2.5.5.x
ffmpeg / ffmpeg	2.8.2	2.8.2.x
ffmpeg / ffmpeg	2.4.7	2.4.7.x
ffmpeg / ffmpeg	2.1.3	2.1.3.x
ffmpeg / ffmpeg	2.8.1	2.8.1.x
ffmpeg / ffmpeg	2.4.2	2.4.2.x
ffmpeg / ffmpeg	2.7.3	2.7.3.x
ffmpeg / ffmpeg	2.0.2	2.0.2.x
ffmpeg / ffmpeg	2.6.4	2.6.4.x
ffmpeg / ffmpeg	2.4.5	2.4.5.x
ffmpeg / ffmpeg	2.3.2	2.3.2.x
ffmpeg / ffmpeg	2.6.5	2.6.5.x
ffmpeg / ffmpeg	2.8-dev	2.8-dev.x
ffmpeg / ffmpeg	2.3.6	2.3.6.x
ffmpeg / ffmpeg	2.2.9	2.2.9.x
ffmpeg / ffmpeg	2.5.8	2.5.8.x
ffmpeg / ffmpeg	2.4.8	2.4.8.x
ffmpeg / ffmpeg	2.1.5	2.1.5.x
ffmpeg / ffmpeg	2.1.8	2.1.8.x
ffmpeg / ffmpeg	2.7.2	2.7.2.x
ffmpeg / ffmpeg	2.8	2.8.x
ffmpeg / ffmpeg	2.0.1	2.0.1.x
ffmpeg / ffmpeg	2.1.1	2.1.1.x
ffmpeg / ffmpeg	2.1.4	2.1.4.x
ffmpeg / ffmpeg	2.5.9	2.5.9.x
ffmpeg / ffmpeg	2.7.4	2.7.4.x
ffmpeg / ffmpeg	2.1.7	2.1.7.x
ffmpeg / ffmpeg	2.2.11	2.2.11.x
ffmpeg / ffmpeg	2.8.3	2.8.3.x
ffmpeg / ffmpeg	2.5.3	2.5.3.x
ffmpeg / ffmpeg	2.2.10	2.2.10.x
ffmpeg / ffmpeg	2.3.4	2.3.4.x
ffmpeg / ffmpeg	2.1	2.1.x
ffmpeg / ffmpeg	2.2.13	2.2.13.x
ffmpeg / ffmpeg	2.2.16	2.2.16.x
ffmpeg / ffmpeg	2.4	2.4.x
ffmpeg / ffmpeg	2.3.1	2.3.1.x
ffmpeg / ffmpeg	2.6.1	2.6.1.x
ffmpeg / ffmpeg	2.0.6	2.0.6.x
ffmpeg / ffmpeg	2.4.12	2.4.12.x
ffmpeg / ffmpeg	2.2.7	2.2.7.x
ffmpeg / ffmpeg	2.5.1	2.5.1.x
ffmpeg / ffmpeg	2.2.5	2.2.5.x
ffmpeg / ffmpeg	2.5.7	2.5.7.x
ffmpeg / ffmpeg	2.2.2	2.2.2.x
ffmpeg / ffmpeg	2.1.2	2.1.2.x
ffmpeg / ffmpeg	2.0.5	2.0.5.x
ffmpeg / ffmpeg	2.5.2	2.5.2.x
canonical / ubuntu_linux	12.04	12.04.x
opensuse / leap	42.1	42.1.x

Vulnerability Database

289,599

CVE-2016-1898