高危Calibre漏洞(CVE-2025-64486，CVSS 9.3)允许通过恶意FB2电子书实现RCE

Calibre是一款流行的跨平台电子书管理软件，其中存在一个严重漏洞，当攻击者提供恶意的FictionBook（FB2）文件时，可导致任意代码执行。该漏洞被追踪为CVE-2025-64486，CVSS评分为9.3分，影响包括8.13.0及之前的所有Calibre版本，已在8.14.0版本中修复。

Calibre是一款电子书管理器。它可以查看、转换、编辑和编目所有主要电子书格式的图书。它还可以与电子书阅读器设备通信，能够连接到互联网获取图书元数据，并能下载报纸并将其转换为电子书以便于阅读。它是跨平台的，可在Linux、Windows和macOS上运行。

研究人员发现，Calibre在处理FB2文件中的二进制资源时未验证文件名。FB2文件是FictionBook文件中图像和二进制附件的标准容器。正如安全公告所解释的：

“Calibre在处理FB2文件中的二进制资源时未验证文件名，允许攻击者在查看或转换恶意FictionBook文件时在文件系统上写入任意文件。这可被利用来实现任意代码执行。”

简而言之：精心制作的FB2文件可能携带具有特殊选择文件名的二进制资源，导致Calibre将文件写入磁盘上的意外位置。这些任意写入可被滥用来放置可执行负载、覆盖DLL、投放启动器快捷方式，或以其他方式安排代码运行——将看似无害的电子书转变为远程代码执行载体。

凭借CVSS 9.3的评分，这是一个高严重性、易于武器化的漏洞：通过电子邮件、论坛下载、种子或受感染网站传递的单个有毒FB2文件，可能让攻击者在受害者机器上获得代码执行权限。

请立即将Calibre修补至8.14.0版本，并在环境更新和审计之前，将不受信任的FB2文件视为潜在恶意文件。