CVE-2025-15280 - FontForge SFD文件解析释放后重用远程代码执行漏洞

概述

CVE-2025-15280 是FontForge软件中一个释放后重用漏洞，允许远程攻击者在受影响的安装上执行任意代码。利用此漏洞需要用户交互，即目标用户必须访问恶意页面或打开恶意文件。

漏洞描述

FontForge SFD文件解析释放后重用远程代码执行漏洞。该漏洞允许远程攻击者在受影响的FontForge安装上执行任意代码。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。

具体缺陷存在于SFD文件的解析过程中。该问题源于在对对象执行操作之前，缺乏验证该对象是否存在。攻击者可利用此漏洞在当前用户上下文中执行代码。该漏洞曾用编号为ZDI-CAN-28525。

关键信息

发布日期： 2025年12月31日 上午7:15 最后修改日期： 2025年12月31日 上午7:15 远程利用： 否 漏洞来源： zdi-disclosures@trendmicro.com

受影响产品

目前尚未记录受影响的产品。 总受影响供应商：0 | 受影响产品：0

CVSS评分

评分： 8.8 版本： CVSS 3.0 严重性： 高 向量： AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 可利用性评分： 2.8 影响评分： 5.9 评分来源： zdi-disclosures@trendmicro.com

解决方案

• 更新FontForge至最新版本以修复SFD文件解析中的释放后重用漏洞。
• 避免打开不受信任的SFD文件。
• 注意利用此漏洞需要用户交互。

参考及工具链接

URL： https://www.zerodayinitiative.com/advisories/ZDI-25-1188/

CWE - 常见缺陷枚举

CWE-416： 释放后重用

漏洞历史记录

2025年12月31日 - 来自zdi-disclosures@trendmicro.com的新CVE记录

• 操作： 添加
  • 类型： 描述
  • 新值： FontForge SFD文件解析释放后重用远程代码执行漏洞。该漏洞允许远程攻击者在受影响的FontForge安装上执行任意代码。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。具体缺陷存在于SFD文件的解析过程中。该问题源于在对对象执行操作之前，缺乏验证该对象是否存在。攻击者可利用此漏洞在当前用户上下文中执行代码。该漏洞曾用编号为ZDI-CAN-28525。
• 操作： 添加
  • 类型： CVSS V3
  • 新值： AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
• 操作： 添加
  • 类型： CWE
  • 新值： CWE-416
• 操作： 添加
  • 类型： 参考
  • 新值： https://www.zerodayinitiative.com/advisories/ZDI-25-1188/

漏洞评分详情

CVSS 3.0 基础评分：8.8