Anritsu VectorStar CHX文件解析反序列化漏洞技术分析

本文详细分析了ZDI-25-1201号安全公告披露的Anritsu VectorStar设备中CHX文件解析存在的反序列化漏洞。攻击者可构造恶意文件诱导用户交互,从而在目标系统上执行任意代码。文章包含了漏洞细节、CVSS评分及披露时间线。

ZDI-25-1201 | 零日倡议公告

公告详情

2025年12月30日 (0Day) Anritsu VectorStar CHX 文件解析反序列化不可信数据远程代码执行漏洞 ZDI-25-1201 / ZDI-CAN-27039

CVE ID CVE-2025-15350

CVSS 评分 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

受影响的厂商 Anritsu

受影响的产品 VectorStar

漏洞详情

此漏洞允许远程攻击者在受影响的 Anritsu VectorStar 安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。 具体缺陷存在于 CHX 文件的解析过程中。该问题源于对用户提供的数据缺乏适当的验证,可能导致不可信数据的反序列化。攻击者可利用此漏洞在当前进程的上下文中执行代码。

补充详情

  • 2025年5月29日 – ZDI 向厂商提交报告
  • 2025年9月11日 – ZDI 询问更新状态
  • 2025年9月12日 – 厂商确认收到报告
  • 2025年10月10日 – ZDI 询问修复情况
  • 2025年12月10日 – ZDI 通知厂商计划于2025年12月30日将此案例作为 0-day 公告发布

– 缓解措施:鉴于漏洞的性质,唯一有效的缓解策略是限制与该产品的交互。

披露时间线

  • 2025-05-29 - 漏洞报告给厂商
  • 2025-12-30 - 协调发布公告
  • 2025-12-30 - 公告更新

致谢

kimiya

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次