CVE-2025-12183 - org.lz4:lz4-java - 越界内存访问
概述
CVE-2025-12183 是一个影响 org.lz4:lz4-java Java库的高危漏洞。该漏洞在版本1.8.0及更早版本中存在,允许远程攻击者通过不可信的压缩输入导致拒绝服务并读取相邻内存。
漏洞描述
org.lz4:lz4-java 1.8.0及更早版本中存在越界内存操作。远程攻击者可通过不可信的压缩输入,导致拒绝服务并读取相邻内存。
信息
- 发布日期: 2025年11月28日 下午4:15
- 最后修改日期: 2025年11月28日 下午4:15
- 可否远程利用: 是
- 来源: 103e4ec9-0a87-450b-af77-479448ddef11
受影响产品
以下产品受到CVE-2025-12183漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未显示该信息。 尚无受影响产品记录。
总计受影响供应商:0 | 受影响产品:0
CVSS 评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 4.0 | 高危 | 103e4ec9-0a87-450b-af77-479448ddef11 | |||
| 8.8 | CVSS 4.0 | 高危 | 103e4ec9-0a87-450b-af77-479448ddef11 |
解决方案
- 将 lz4-java 更新到已修复越界内存操作的版本。
- 将 lz4-java 库更新到安全版本。
- 为应用程序应用最新的安全补丁。
- 验证压缩数据输入的完整性。
公开的PoC/漏洞利用
在Github上有1个公开的PoC/漏洞利用可用于CVE-2025-12183。请转到“公开漏洞利用”选项卡查看列表。
咨询、解决方案和工具参考链接
以下是为CVE-2025-12183整理的提供深入信息、实用解决方案和宝贵工具的外部链接。
| URL | 资源 |
|---|---|
| https://github.com/yawkat/lz4-java/releases/tag/v1.8.1 | |
| https://sites.google.com/sonatype.com/vulnerabilities/cve-2025-12183 |
CWE - 通用弱点枚举
CVE识别特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12183与以下CWE相关联:
- CWE-125:越界读取
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了攻击者利用CVE-2025-12183弱点的常用属性和方法。
- CAPEC-540:缓冲区过度读取
GitHub上的公开漏洞利用
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公开漏洞利用和概念验证集合(按最近更新时间排序)。
- lz4/lz4-java
- 描述: LZ4 compression for Java
- 主题: lz4-compression, jni-bindings, java, compressor, lz4-java, decompression, lz4-compressors
- 语言: Java, HTML, C
- 更新时间: 1天22小时前
- 统计: 1172星标,255个复刻,255个关注者
- 创建于: 2012年7月18日 下午5:26
- 该仓库还关联了其他1个不同的CVE。
由于潜在的性能问题,结果仅限于前15个仓库。
相关新闻
以下列表是文章中提及CVE-2025-12183漏洞的新闻。 由于潜在的性能问题,结果仅限于前20篇新闻文章。
漏洞时间线
下表列出了CVE-2025-12183漏洞随时间的变更情况。漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变更。
| 日期 | 事件 |
|---|---|
| 2025年11月28日 | 收到来自 103e4ec9-0a87-450b-af77-479448ddef11 的新CVE |
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input. | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-125 | |
| 添加 | 参考链接 | https://github.com/yawkat/lz4-java/releases/tag/v1.8.1 | |
| 添加 | 参考链接 | https://sites.google.com/sonatype.com/vulnerabilities/cve-2025-12183 |
EPSS 分数
EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。
内存损坏
漏洞评分详情
CVSS 4.0
- 基础CVSS分数:8.8
| 攻击向量 | 攻击复杂性 | 攻击前提 | 所需权限 | 用户交互 | VS 机密性 | VS 完整性 | VS 可用性 | SS 机密性 | SS 完整性 | SS 可用性 |
|---|---|---|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 无 | 高 | 无 | 高 | 无 | 无 | 无 |
攻击向量选项: 网络、相邻、本地、物理 攻击复杂性选项: 低、高 攻击前提选项: 无、存在 所需权限选项: 无、低、高 用户交互选项: 无、被动、主动 VS机密性选项: 高、低、无 VS完整性选项: 高、低、无 VS可用性选项: 高、低、无 SS机密性选项: 高、低、无 SS完整性选项: 高、低、无 SS可用性选项: 高、低、无