概述
CVE-2025-62641是Oracle VM VirtualBox产品中的一个安全漏洞,属于Oracle虚拟化产品的核心组件问题。
漏洞详情
受影响版本
- 7.1.12
- 7.2.2
漏洞描述
该漏洞易于利用,允许具有高权限的攻击者通过登录运行Oracle VM VirtualBox的基础设施来危害VirtualBox。虽然漏洞存在于Oracle VM VirtualBox中,但攻击可能显著影响其他产品(范围变更)。成功利用此漏洞可导致Oracle VM VirtualBox被完全接管。
CVSS评分
- CVSS 3.1基础分数:8.2(高危)
- 向量:AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- 可利用性分数:1.5
- 影响分数:6.0
技术特征
攻击向量
- 攻击向量:本地(AV:L)
- 攻击复杂度:低(AC:L)
- 所需权限:高(PR:H)
- 用户交互:无(UI:N)
- 范围:变更(S:C)
影响范围
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Oracle | vm_virtualbox |
总计受影响厂商:1 | 产品:1
安全参考
解决方案链接
相关CWE
- CWE-267:权限定义存在不安全操作
相关CAPEC攻击模式
- CAPEC-58:Restful权限提升
- CAPEC-634:探测音频和视频外设
- CAPEC-637:从剪贴板收集数据
- CAPEC-643:识别系统上的共享文件/目录
- CAPEC-648:从屏幕截图收集数据
时间线
- 发布日期:2025年10月21日 20:20
- 最后修改:2025年10月21日 21:15
- 远程利用:否
- 来源:secalert_us@oracle.com
漏洞历史记录
2025年10月21日
由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CWE | CWE-267 |
2025年10月21日
由secalert_us@oracle.com接收新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Vulnerability in the Oracle VM VirtualBox product of Oracle Virtualization (component: Core). Supported versions that are affected are 7.1.12 and 7.2.2. Easily exploitable vulnerability allows high privileged attacker with logon to the infrastructure where Oracle VM VirtualBox executes to compromise Oracle VM VirtualBox. While the vulnerability is in Oracle VM VirtualBox, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle VM VirtualBox. CVSS 3.1 Base Score 8.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | |
| 添加 | 参考 | https://www.oracle.com/security-alerts/cpuoct2025.html |