CVE-2025-6033 - NI Circuit设计套件XML_Serialize()内存损坏漏洞

概述

在NI Circuit设计套件的SymbolEditor中使用XML_Serialize()函数时，存在一个由于越界写入导致的内存损坏漏洞。该漏洞可能导致信息泄露或任意代码执行。成功利用需要攻击者诱使用户打开特制的.sym文件。此漏洞影响NI Circuit设计套件14.3.1及更早版本。

漏洞详情

漏洞类型：内存损坏（CWE-787：越界写入） CVSS评分：8.5（高危） 利用复杂度：需要用户交互

受影响产品

目前尚未记录具体的受影响产品信息 总受影响供应商：0 | 产品：0

解决方案

• 更新NI Circuit设计套件至最新版本
• 避免打开不可信的.sym文件
• 在可用时应用供应商补丁

技术细节

CVSS评分详情

CVSS 4.0评分：8.5（高危）

• 攻击向量：本地
• 攻击复杂度：低
• 所需权限：无
• 用户交互：需要
• 机密性影响：高
• 完整性影响：高
• 可用性影响：高

CVSS 3.1评分：7.8（高危）

• 攻击向量：本地
• 攻击复杂度：低
• 所需权限：无
• 用户交互：需要
• 影响范围：未更改

参考资源

• NI官方安全公告

漏洞时间线

• 2025年9月30日：收到新的CVE报告
• 2025年9月30日：添加漏洞描述、CVSS评分和CWE分类

该漏洞已被识别为CWE-787（越界写入）类型，属于严重的内存安全问题，需要用户及时采取防护措施。