CVE-2025-53470 - Apache Mynewt NimBLE: NimBLE HCI H4 驱动中的越界写入漏洞
概述
漏洞时间线
描述
Apache NimBLE HCI H4 驱动中存在越界读取漏洞。特制的 HCI 事件可能导致 H4 驱动中的无效内存读取。
此问题影响 Apache NimBLE 1.8 及之前版本。
此问题需要存在故障或伪造的蓝牙控制器,因此严重性被视为较低。
建议用户升级到修复了此问题的 1.9 版本。
信息
发布日期: 2026年1月10日 上午10:15 最后修改日期: 2026年1月10日 上午10:15 可远程利用: 否 来源: security@apache.org
受影响产品
以下产品受到 CVE-2025-53470 漏洞的影响。即使 cvefeed.io 知晓受影响产品的确切版本,以下表格中也未体现该信息。
尚无受影响产品记录
总计受影响供应商: 0 | 产品: 0
解决方案
将 Apache NimBLE 升级到 1.9 版本,以修复越界读取漏洞。
- 升级 Apache NimBLE 到版本 1.9。
- 如果无法升级,请应用相关补丁。
公告、解决方案和工具参考
此处,您将找到精心策划的外部链接列表,这些链接提供了与 CVE-2025-53470 相关的深入信息、实用解决方案和有价值的工具。
CWE - 通用缺陷枚举
虽然 CVE 标识具体的漏洞实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-53470 与以下 CWE 相关联:
- CWE-125: 越界读取
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了对手利用 CVE-2025-53470 弱点所采用的常见属性和方法。
- CAPEC-540: 缓冲区超读
我们扫描 GitHub 仓库以检测新的概念验证漏洞利用程序。以下列表是已发布在 GitHub 上的公共漏洞利用和概念验证的集合(按最近更新排序)。
由于潜在的性能问题,结果限制在前 15 个仓库。
以下列表是在文章中任何地方提及 CVE-2025-53470 漏洞的新闻。
由于潜在的性能问题,结果限制在前 20 篇新闻文章。
下表列出了 CVE-2025-53470 漏洞随时间的变化。
漏洞历史记录详情可用于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增CVE 由 security@apache.org 接收 2026年1月10日 |
|||
| 添加 | 描述 | Apache NimBLE HCI H4 驱动中存在越界读取漏洞。特制的 HCI 事件可能导致 H4 驱动中的无效内存读取。 此问题影响 Apache NimBLE 1.8 及之前版本。 此问题需要存在故障或伪造的蓝牙控制器,因此严重性被视为较低。 建议用户升级到修复了此问题的 1.9 版本。 |
|
| 添加 | CWE | CWE-125 | |
| 添加 | 参考 | https://github.com/apache/mynewt-nimble/commit/b973df0c6cf7b30efbf8eb2cafdc1ee843464b76 | |
| 添加 | 参考 | https://lists.apache.org/thread/32sm0944dyod4sdql77stgyw9xb2msc0 | |
| CVE 修改 由 af854a3a-2127-422b-91ae-364da2661108 修改 2026年1月10日 |
|||
| 添加 | 参考 | http://www.openwall.com/lists/oss-security/2026/01/08/2 |
EPSS 是对未来 30 天内观察到漏洞利用活动的概率的每日估计。下图显示了该漏洞的 EPSS 分数历史。
内存损坏
漏洞评分详情
此漏洞无 CVSS 指标可用。