JVN#76719218:GNU Libmicrohttpd 中的多个漏洞
发布时间:2025年11月10日
最后更新:2025年11月10日
概述
GNU 项目提供的 GNU Libmicrohttpd 包含多个安全漏洞。
受影响产品
- GNU libmicrohttpd v1.0.2 及更早版本
此漏洞存在于构建时使用 --enable-experimental 选项生成的 libmicrohttpd_ws.so 中,而非广泛使用的 libmicrohttpd.so。
请注意,在 libmicrohttpd Git 仓库主分支的 v1.0.2 标签之后的 ff13abc 提交之前,源代码中仍存在此漏洞。
漏洞描述
GNU 项目提供的 GNU Libmicrohttpd 包含以下多个漏洞:
空指针解引用 (CWE-476)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基础评分 8.7
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基础评分 7.5
- CVE-2025-59777
基于堆的缓冲区溢出 (CWE-122)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基础评分 8.7
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基础评分 7.5
- CVE-2025-62689
影响
攻击者发送特制数据包可能导致拒绝服务 (DoS) 情况。
解决方案
停止使用 libmicrohttpd_ws.so
libmicrohttpd_ws.so 是一个实验性实现,建议用户停止使用此组件。
供应商状态
| 供应商 | 链接 |
|---|---|
| GNU Project | GNU Libmicrohttpd |
提交 ff13abc:移除了有问题的实验性代码
参考信息
- JPCERT/CC 附加说明
- JPCERT/CC 的漏洞分析
致谢
三井物产安全方向的 Tatsuhiko Yasumatsu 向 IPA 报告了这些漏洞。
JPCERT/CC 在信息安全早期预警合作伙伴关系下与开发人员进行了协调。
其他信息
- CVE:
- CVE-2025-59777
- CVE-2025-62689
- JVN iPedia: JVNDB-2025-000104