CVE-2025-62813 - LZ4拒绝服务(DoS)及潜在未指定影响漏洞
概述
漏洞描述
LZ4直至1.10.0版本存在安全漏洞,当应用程序处理不受信任的LZ4帧时,攻击者可导致拒绝服务(应用程序崩溃)或可能产生其他未指定影响。具体而言,lib/lz4frame.c文件中的LZ4F_createCDict_advanced函数对NULL检查处理不当。
基本信息
发布日期:2025年10月23日 04:17
最后修改:2025年10月23日 04:17
远程利用:否
来源:cve@mitre.org
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.9 | CVSS 3.1 | 中 | 1.4 | 4.0 | cve@mitre.org |
受影响产品
目前尚未记录受影响的具体产品
总受影响供应商:0 | 产品:0
解决方案
- 将LZ4更新到修复了LZ4F_createCDict_advanced中NULL指针解引用问题的版本
- 确保应用程序安全处理LZ4帧
- 审查LZ4帧处理逻辑
- 对应用程序进行彻底测试
参考信息
| URL | 资源 |
|---|---|
| https://github.com/lz4/lz4/commit/f64efec011c058bd70348576438abac222fe6c82 | |
| https://github.com/lz4/lz4/pull/1593 |
CWE - 常见弱点枚举
CWE-158:空字节或NUL字符处理不当
常见攻击模式枚举和分类(CAPEC)
- CAPEC-52:嵌入NULL字节
- CAPEC-53:后缀、空终止和反斜杠
漏洞时间线
2025年10月23日 - 收到新CVE报告
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | LZ4直至1.10.0版本存在安全漏洞… | |
| 添加 | CVSS V3.1 | AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H | |
| 添加 | CWE | CWE-158 | |
| 添加 | 参考 | https://github.com/lz4/lz4/commit/f64efec011c058bd70348576438abac222fe6c82 | |
| 添加 | 参考 | https://github.com/lz4/lz4/pull/1593 |
漏洞评分详情
基础CVSS分数:5.9
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 本地 | 高 | 无 | 无 | 改变 | 无 | 无 | 高 |