CVE-2025-13663: CWE-279：Altera Quartus Prime Pro 中不正确的执行分配权限

严重性: 中 类型: 漏洞

CVE-2025-13663

在某些情况下，Windows版的Quartus Prime Pro安装程序不会检查Quartus目标安装目录的权限，如果该目标安装目录已经存在。

AI分析

技术摘要

CVE-2025-13663是一个被归类为CWE-279（不正确的执行分配权限）的漏洞，影响Altera Quartus Prime Pro软件，特别是Windows平台上的17.0版本。问题的出现是因为Quartus Prime Pro安装程序在安装前，如果目标目录已经存在，则不会正确检查该目录的权限。此漏洞可被本地低权限用户利用，他们可以操纵现有目录的权限或内容，以便在安装过程中以提升的权限执行任意代码。该漏洞的CVSS v3.1基础评分为6.7，表示中等严重性，攻击向量为AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。这意味着攻击需要本地访问、高攻击复杂性、低权限和用户交互，但可能对机密性、完整性和可用性产生高影响。影响范围保持不变，仅影响本地系统。目前没有可用的补丁或已知的漏洞利用，但风险在于安装过程中潜在的权限提升和未经授权的代码执行。此漏洞对于使用Quartus Prime Pro进行FPGA设计和开发的环境尤为重要，这些环境通常存在于关键的工业和制造领域。

潜在影响

对于欧洲组织而言，CVE-2025-13663的影响可能很显著，尤其是在依赖FPGA设计和嵌入式系统开发的行业，如汽车、航空航天、电信和工业自动化。成功利用可能允许低权限的内部人员或访问权限有限的攻击者提升权限，可能导致未经授权的知识产权修改或窃取、设计工作流程中断或关键系统破坏。这可能损害敏感设计数据的机密性、硬件配置的完整性以及开发环境的可用性。考虑到半导体和嵌入式系统设计在欧洲先进制造业和技术领域的重要性，该漏洞对运营连续性和竞争优势构成风险。尽管利用需要本地访问和用户交互，但内部威胁或被入侵的端点可能利用此缺陷获得提升的控制权，这使得拥有共享工作站或终端安全控制不足的组织需要关注。

缓解建议

为缓解CVE-2025-13663，欧洲组织应实施以下具体措施：1) 限制本地用户权限，防止未经授权的用户修改或预先创建Quartus安装目录；2) 在开发工作站上实施严格的访问控制策略，限制谁可以运行安装程序或修改安装目录；3) 使用应用程序白名单和终端保护来监控和阻止未经授权的安装尝试；4) 在运行Quartus Prime Pro安装程序之前，手动验证目录权限，确保不存在不适当的权限；5) 将FPGA开发环境与普通用户系统隔离，以降低风险暴露；6) 监控安装日志和系统事件中与Quartus安装相关的可疑活动；7) 与Altera（英特尔）联系以获取解决此漏洞的更新或补丁，并在可用后立即应用；8) 教育用户有关从不信任来源运行安装程序的风险以及遵循安全安装程序的重要性。这些有针对性的行动超越了通用建议，重点关注特定的安装权限缺陷和Quartus Prime Pro的操作环境。

受影响国家

德国、荷兰、法国、英国、意大利、比利时

技术详情

• 数据版本: 5.2
• 分配者简称: Altera
• 预留日期: 2025-11-25T16:21:46.226Z
• CVSS版本: 3.1
• 状态: 已发布
• 威胁ID: 693b2fe222246175c69eaa86
• 添加到数据库: 2025年12月11日，晚上8:56:02
• 最后丰富: 2025年12月11日，晚上9:11:24
• 最后更新: 2025年12月12日，凌晨1:19:12
• 浏览量: 9

来源: CVE数据库 V5 发布日期: 2025年12月11日，星期四