概述
CVE-2025-61833是一个影响Adobe Substance3D Stager软件的安全漏洞,该漏洞被归类为越界读取(CWE-125)类型。
漏洞描述
Substance3D Stager 3.1.5及更早版本在解析特制文件时存在越界读取漏洞,可能导致读取超出已分配内存结构末尾的数据。攻击者可利用此漏洞在当前用户上下文中执行代码。此漏洞的利用需要用户交互,即受害者必须打开恶意文件。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Adobe | substance_3d_stager |
受影响厂商总数:1 | 产品总数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.8 | CVSS 3.1 | 高 | 1.8 | 5.9 | psirt@adobe.com |
解决方案
- 将Substance3D Stager更新到解决此越界读取漏洞的版本
- 更新Substance3D Stager至3.1.6或更高版本
- 避免打开来自不可信来源的恶意文件
相关参考
CWE分类
CWE-125:越界读取
CAPEC攻击模式
CAPEC-540:缓冲区过度读取
漏洞时间线
- 新CVE接收:由psirt@adobe.com于2025年11月11日提交
变更记录
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Substance3D Stager 3.1.5及更早版本在解析特制文件时存在越界读取漏洞… | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-125 | |
| 添加 | 参考 | https://helpx.adobe.com/security/products/substance3d_stager/apsb25-113.html |