CVE-2025-55174 - KDE Skanpage 不受控文件截断漏洞
概述
漏洞时间线
描述
在 KDE Skanpage 25.08.0 之前的版本中,尝试覆写文件可能导致新文件内容出现在开头,而旧文件的部分内容残留在末尾。这是因为使用了 QIODevice::ReadWrite 而不是 QODevice::WriteOnly 模式。
信息
发布日期:2025年11月26日 上午6:15 最后修改日期:2025年11月26日 上午6:15 远程可利用:否 来源:cve@mitre.org
受影响产品
以下产品受 CVE-2025-55174 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本,相关信息也未在下表中体现。
- 尚无受影响产品记录
受影响供应商总数:0 | 产品:0
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统漏洞严重性的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS评分。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 3.2 | CVSS 3.1 | LOW | 1.4 | 1.4 | cve@mitre.org | |
| 3.2 | CVSS 3.1 | LOW | 1.4 | 1.4 | MITRE-CVE |
解决方案
将 Skanpage 更新至 25.08.0 或更高版本以修复文件处理问题。应用正确的设备访问模式。
- 更新 KDE Skanpage 至版本 25.08.0 或更高。
- 确保文件操作使用
QIODevice::WriteOnly模式。
相关建议、解决方案和工具参考
在这里,您将找到一个精选的外部链接列表,这些链接提供了与 CVE-2025-55174 相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://github.com/KDE/skanpage/tags | |
| https://invent.kde.org/utilities/skanpage/-/commit/de3ad2941054a26920e022dc7c4a3dc16c065b5a | |
| https://kde.org/info/security/advisory-20250811-1.txt |
CWE - 通用缺陷枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-55174 与以下CWE关联:
CWE-684: 功能提供不正确
常见攻击模式枚举与分类
常见攻击模式枚举与分类存储了攻击模式,这些模式描述了对手利用 CVE-2025-55174 弱点所采用的常见属性和方法。
我们扫描 GitHub 存储库以检测新的概念验证漏洞利用程序。以下列表是已发布在 GitHub 上的公共漏洞利用程序和概念验证的集合(按最近更新排序)。
由于潜在的性能问题,结果限制为前15个存储库。
以下列表提到了文章任何地方提及 CVE-2025-55174 漏洞的新闻。
由于潜在的性能问题,结果限制为前20篇新闻文章。
下表列出了随时间对 CVE-2025-55174 漏洞所做的更改。
漏洞历史记录详情有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 新CVE接收方 | 日期 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|---|
| cve@mitre.org | 2025年11月26日 | 添加 | 描述 | In KDE Skanpage before 25.08.0, an attempt at file overwrite can result in the contents of the new file at the beginning followed by the partial contents of the old file at the end, because of use of QIODevice::ReadWrite instead of QODevice::WriteOnly. | |
| 添加 | CVSS V3.1 | AV:L/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N | |||
| 添加 | CWE | CWE-684 | |||
| 添加 | 参考 | https://github.com/KDE/skanpage/tags | |||
| 添加 | 参考 | https://invent.kde.org/utilities/skanpage/-/commit/de3ad2941054a26920e022dc7c4a3dc16c065b5a | |||
| 添加 | 参考 | https://kde.org/info/security/advisory-20250811-1.txt |
EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS评分历史。
错误配置
漏洞评分详情
CVSS 3.1
基础 CVSS 分数:3.2
攻击向量攻击复杂性所需权限用户交互范围机密性影响完整性影响可用性影响
攻击向量网络相邻本地物理攻击复杂性低高所需权限无低高用户交互无必需范围已更改未更改机密性影响高低无完整性影响高低无可用性影响高低无