CVE-2025-9452：Autodesk共享组件中的CWE-120缓冲区复制未检查输入大小（‘经典缓冲区溢出’）

严重性：高 类型：漏洞

概述

CVE-2025-9452 是 Autodesk Shared Components 2026.0 版本中存在的一个高严重性缓冲区溢出漏洞。该漏洞源于解析恶意构造的 SLDPRT 文件时未能正确验证输入大小，从而导致内存损坏。利用此漏洞可在受影响进程的上下文中执行任意代码。漏洞需要本地访问（AV:L）和用户交互（UI:R），但不需要权限（PR:N）。截至发布日期，尚未发现野外利用，也未发布补丁。使用 Autodesk 产品进行 CAD 和设计工作流程的欧洲组织可能面临重大风险，包括数据泄露和运营中断。缓解措施应侧重于限制文件来源、应用严格的文件验证以及监控可疑活动。拥有强大制造业、工程和设计部门并使用 Autodesk 软件的国家最有可能受到影响。

技术摘要

CVE-2025-9452 是在 Autodesk Shared Components 2026.0 版本中识别出的一个经典缓冲区溢出漏洞（CWE-120）。该缺陷是由于在解析 SLDPRT 文件（Autodesk CAD 产品中使用的专有 3D 零件文件）时缺乏适当的边界检查造成的。特制的 SLDPRT 文件可以在文件解析过程中溢出缓冲区，从而触发内存损坏。攻击者可以利用此内存损坏在当前进程的上下文中执行任意代码，可能导致受影响的应用程序被完全控制。该漏洞的 CVSS v3.1 评分为 7.8，表明其严重性高，攻击向量被归类为本地（AV:L），这意味着攻击者必须对系统具有本地访问权限。不需要任何权限（PR:N），但需要用户交互（UI:R），例如打开或导入恶意文件。该漏洞影响 Autodesk Shared Components 2026.0，这是一个被多个 Autodesk 产品使用的核心库，从而扩大了攻击面。尽管尚未报告有已知的野外利用，但任意代码执行的可能性使得依赖 Autodesk 软件进行设计和工程任务的组织必须高度关注此问题。目前尚未发布任何补丁或修复程序，因此用户仍然面临风险。该漏洞于 2025 年 8 月保留，并于 2025 年 12 月发布，表明是近期发现的。

潜在影响

对于欧洲组织，尤其是那些严重依赖 Autodesk 软件的制造业、工程、建筑和产品设计领域的组织，此漏洞构成了重大风险。漏洞利用可能导致未经授权的代码执行，从而导致数据盗窃、知识产权泄露或关键设计工作流程中断。考虑到本地攻击向量和用户交互的要求，威胁更可能来自针对性攻击或内部威胁，其中恶意文件被引入环境。高机密性、完整性和可用性影响可能波及敏感的设计文件和项目时间表，潜在地导致财务损失和声誉损害。此外，受入侵的系统可能成为在企业网络内进一步横向移动的立足点。缺乏补丁增加了暴露持续时间，强调了主动缓解的必要性。

缓解建议

1. 通过强制执行严格的文件接受策略并在打开或导入 SLDPRT 文件之前验证其来源，来限制 SLDPRT 文件的来源。
2. 为 Autodesk 产品实施应用程序白名单和沙箱化，以限制潜在利用的影响。
3. 教育用户了解打开来自不受信任或未知来源的文件的风险，以减少用户与恶意文件交互的可能性。
4. 监控系统和应用程序日志，查找表明利用尝试的异常行为，例如崩溃或意外的进程活动。
5. 部署能够检测异常内存损坏或代码注入活动的端点检测与响应（EDR）解决方案。
6. 与 Autodesk 协调，以便在补丁可用时及时部署并立即应用更新。
7. 考虑进行网络分段，以隔离设计工作站，并在发生入侵时限制横向移动。
8. 对关键设计文件和共享组件使用文件完整性监控，以检测未经授权的更改。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典、比利时、波兰、捷克共和国

来源： CVE 数据库 V5 发布日期： 2025年12月15日，星期一