CVE-2025-15506: AcademySoftwareFoundation OpenColorIO 中的越界读取漏洞

严重性： 中等 类型： 漏洞 CVE 编号： CVE-2025-15506

描述

在 AcademySoftwareFoundation OpenColorIO 2.5.0 及之前版本中发现一个漏洞。此问题影响文件 src/OpenColorIO/FileRules.cpp 中的函数 ConvertToRegularExpression。执行特定操作会导致越界读取。攻击需要本地进行。漏洞利用方法已被公开，可能被使用。补丁命名为 ebdbb75123c9d5f4643e041314e2bc988a13f20d。建议部署补丁以修复此问题。该修复已添加到 2.5.1 里程碑中。

AI 分析技术总结

CVE-2025-15506 识别出 OpenColorIO 库中的一个越界读取漏洞，具体位于源文件 FileRules.cpp 中的 ConvertToRegularExpression 函数。OpenColorIO 是一个广泛应用于视觉特效、动画和媒体制作流程的开源色彩管理系统。当该函数处理畸形的输入时，会导致读取超出分配缓冲区边界的内存。这可能引起应用程序不稳定、崩溃，或可能泄露相邻内存区域的敏感信息。攻击向量是本地性的，要求攻击者在受影响的系统上拥有低级别权限，一旦获得本地访问权限，则无需用户交互。该漏洞影响 2.5.0 及之前的所有版本，已在版本 2.5.1 中通过补丁 ebdbb75123c9d5f4643e041314e2bc988a13f20d 修复。虽然尚未报告有主动利用，但漏洞的公开披露和补丁的可用性增加了受影响用户更新的紧迫性。CVSS v4.0 基础评分 4.8 反映了其中等严重性，这考虑了本地攻击向量、低复杂性以及对机密性和可用性的有限影响。该漏洞除了需要本地访问外，不需要身份验证，也不涉及用户交互，这在受控环境中略微增加了风险。OpenColorIO 在专业媒体工作流中的使用意味着受攻击的系统可能会破坏生产流程或泄露专有内容。

潜在影响

对于欧洲组织，特别是那些涉及媒体制作、动画和视觉特效的组织，此漏洞存在导致色彩管理工作流中应用程序崩溃和潜在信息泄露的风险。中断可能导致生产环境停机，影响项目时间线并造成财务损失。机密性风险虽然有限，但可能暴露专有色彩配置文件或相关数据，可能影响知识产权。由于利用需要本地访问，因此在多用户拥有系统访问权限或攻击者可以通过其他方式获得立足点的环境中，威胁更为显著。该漏洞也可能被用作多阶段攻击的一部分，以提升权限或在网络内横向移动。在其流程中依赖 OpenColorIO 的组织应将该漏洞视为需要及时修补以保持系统稳定性和数据完整性的中等运营风险。

缓解建议

欧洲组织应立即将 OpenColorIO 升级到 2.5.1 或更高版本，该版本包含针对此漏洞的补丁。在无法立即修补的环境中，应将运行 OpenColorIO 的系统的本地访问权限仅限受信任用户，并监控异常活动。对参与媒体制作工作流的工作站和服务器实施严格的访问控制和审计。采用应用程序白名单和端点检测解决方案来检测与 OpenColorIO 进程相关的异常行为。定期审查和更新内部安全策略，以最小化本地权限提升的风险。此外，考虑对处理不受信任输入的应用程序进行沙箱化或隔离，以限制潜在利用的影响。维护关键生产数据的最新备份，以便在发生中断时能够快速恢复。

受影响国家

英国、德国、法国、荷兰、意大利、西班牙、瑞典

技术详情

• 数据版本： 5.2
• 分配者短名称： VulDB
• 保留日期： 2026-01-10T18:20:54.803Z
• Cvss 版本： 4.0
• 状态： PUBLISHED
• 威胁 ID： 69638841da2266e838eaba6e
• 添加到数据库： 2026年1月11日，上午11:23:45
• 最后丰富时间： 2026年1月11日，上午11:38:05
• 最后更新时间： 2026年1月11日，下午9:10:36
• 浏览量： 17

来源： CVE Database V5 发布时间： 2026年1月11日，星期日