CVE-2025-66047: CWE-121: The Biosig项目libbiosig中的基于栈的缓冲区溢出

严重性: 严重 类型: 漏洞 CVE: CVE-2025-66047

描述

在The Biosig项目的libbiosig 3.9.1版本的MFER解析功能中存在多个基于栈的缓冲区溢出漏洞。一个特制的MFER文件可导致任意代码执行。攻击者可提供恶意文件来触发这些漏洞。 当标签为131时触发

技术分析

CVE-2025-66047是在libbiosig 3.9.1版本中发现的一个严重安全漏洞，libbiosig是一个广泛用于处理EEG、ECG等生物信号数据的开源库。该漏洞是位于MFER（医疗文件交换记录）解析功能中的一个基于栈的缓冲区溢出（CWE-121），在处理MFER文件中的Tag 131时被特定触发。该缺陷允许攻击者制作一个恶意的MFER文件，当被libbiosig解析时，会导致栈上的缓冲区溢出，可能覆盖返回地址或其他控制数据。这可在无需任何权限或用户交互的情况下，在易受攻击的应用程序上下文中导致任意代码执行，使其在接收MFER文件的网络系统中可被远程利用。CVSS v3.1基本分9.8反映了其高严重性，相关指标表明：攻击途径为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）、无需用户交互（UI:N），并对机密性、完整性和可用性产生完全影响（C:H/I:H/A:H）。尽管目前尚未有公开的漏洞利用报告，但该漏洞的性质以及libbiosig在医疗和研究环境中的广泛使用使其成为一个严重风险。披露时缺乏可用补丁增加了缓解措施的紧迫性。该漏洞于2025-11-21保留，并于2025-12-11发布，表明是近期发现和披露的。

潜在影响

CVE-2025-66047对欧洲组织的影响是重大的，特别是对于那些在医疗保健、生物医学研究以及依赖生物信号处理的行业。成功利用可导致系统完全被控制，允许攻击者执行任意代码、窃取敏感的患者或研究数据、中断医疗设备或研究操作，如果涉及医疗设备，还可能对患者造成潜在伤害。敏感健康数据的机密性可能被破坏，生物信号数据的完整性可能被损坏，关键系统的可用性可能被中断。鉴于欧洲医疗基础设施的关键性质以及像GDPR这样的严格数据保护法规，此类违规可能导致严重的监管处罚、声誉损害和运营中断。在医疗设备、研究实验室或临床环境中使用libbiosig的组织尤其脆弱。目前缺乏已知漏洞利用为主动防御提供了一个时间窗口，但利用的容易程度和高严重性分数表明，一旦漏洞利用代码可用，即将发生攻击的风险很高。

缓解建议

为缓解CVE-2025-66047，欧洲组织应立即识别所有使用libbiosig 3.9.1版本的系统和应用，特别是那些处理MFER文件的系统。由于披露时没有官方补丁，组织应对MFER文件实施严格的输入验证和清理，包括在补丁发布前拒绝或沙箱化包含Tag 131的文件。采用运行时保护措施，如栈金丝雀、地址空间布局随机化（ASLR）和控制流完整性（CFI），以降低利用风险。监控网络流量和文件上传，查找可疑的MFER文件，并实施针对畸形MFER解析尝试的入侵检测特征码。与供应商和开源维护者协调，及时发布补丁，并在补丁可用后立即应用更新。此外，对专注于生物信号处理组件的代码进行审计和渗透测试。对于关键的医疗设备，考虑将受影响的系统与外部网络隔离，并实施严格的访问控制。维护针对生物信号处理环境的最新备份和事件响应计划。

受影响国家

德国、法国、英国、荷兰、瑞典、瑞士、比利时、意大利

来源: CVE Database V5 发布日期: 2025年12月11日 星期四