安立VectorStar CHX文件解析反序列化漏洞导致远程代码执行

本文披露了安立VectorStar产品中一个因CHX文件解析时缺乏对用户输入数据的充分验证而导致的反序列化漏洞。攻击者可诱使用户访问恶意页面或打开恶意文件,从而在目标系统上远程执行任意代码。

漏洞通告详情

2025年12月30日

(0Day) 安立 VectorStar CHX 文件解析反序列化不受信任数据远程代码执行漏洞 ZDI-25-1202 / ZDI-CAN-27040

CVE ID CVE-2025-15351

CVSS 评分 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)

受影响的厂商 安立 (Anritsu)

受影响的产品 VectorStar

漏洞详情 此漏洞允许远程攻击者在受影响的安立 VectorStar 安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。 具体缺陷存在于 CHX 文件的解析过程中。该问题源于对用户提供的数据缺乏适当的验证,可能导致反序列化不受信任的数据。攻击者可利用此漏洞在当前进程的上下文中执行代码。

其他详情

  • 2025年5月29日 – ZDI 向厂商提交报告
  • 2025年9月11日 – ZDI 询问进展
  • 2025年9月12日 – 厂商确认收到报告
  • 2025年10月10日 – ZDI 询问修复情况
  • 2025年12月10日 – ZDI 通知厂商计划于2025年12月30日将此案例作为 0-day 通告发布
  • 缓解措施:鉴于该漏洞的性质,唯一有效的缓解策略是限制与产品的交互。

披露时间线

  • 2025-05-29 - 向厂商报告漏洞
  • 2025-12-30 - 协调发布公开通告
  • 2025-12-30 - 通告更新

致谢 kimiya

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次