概述
CVE-2025-62587是Oracle VM VirtualBox产品中的一个安全漏洞,属于Oracle虚拟化产品的核心组件问题。
漏洞详情
受影响版本:
- 7.1.12
- 7.2.2
漏洞描述: 该漏洞易于利用,允许在Oracle VM VirtualBox执行的基础设施上具有登录权限的高权限攻击者危害Oracle VM VirtualBox。虽然漏洞存在于Oracle VM VirtualBox中,但攻击可能显著影响其他产品(范围变更)。成功利用此漏洞可导致Oracle VM VirtualBox被完全接管。
CVSS 3.1评分:
- 基础分数:8.2(高危)
- 向量:AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- 可利用性分数:1.5
- 影响分数:6.0
技术细节
攻击向量: 本地(AV:L) 攻击复杂度: 低(AC:L) 所需权限: 高(PR:H) 用户交互: 无(UI:N) 范围: 变更(S:C)
影响:
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Oracle | vm_virtualbox |
总计受影响厂商:1 | 产品:1
安全信息
发布日期: 2025年10月21日 20:20 最后修改: 2025年10月21日 21:15 远程利用: 否 来源: secalert_us@oracle.com
相关资源
参考链接:
弱点枚举(CWE)
CWE-267: 使用不安全操作定义权限
攻击模式(CAPEC)
- CAPEC-58:RESTful权限提升
- CAPEC-634:探测音频和视频外设
- CAPEC-637:从剪贴板收集数据
- CAPEC-643:识别系统上的共享文件/目录
- CAPEC-648:从屏幕截图收集数据
漏洞时间线
2025年10月21日 - 由secalert_us@oracle.com接收新CVE
- 添加描述信息
- 添加CVSS V3.1评分
- 添加参考链接
2025年10月21日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
- 添加CWE-267弱点分类