Trimble SketchUp SKP文件解析释放后重用远程代码执行漏洞详解

本文详细披露了编号为ZDI-25-1198的Trimble SketchUp SKP文件解析漏洞。该漏洞源于对SKP文件进行解析时,程序在操作对象前未验证其是否存在,导致释放后重用问题,远程攻击者可借此在当前进程上下文中执行任意代码。

ZDI-25-1198 | Zero Day Initiative

公告详情

December 29th, 2025

Trimble SketchUp SKP 文件解析 释放后重用 远程代码执行漏洞 ZDI-25-1198 / ZDI-CAN-27769

CVE ID CVE-2025-15062

CVSS 评分 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

受影响的供应商 Trimble

受影响的产品 SketchUp

漏洞详情 此漏洞允许远程攻击者在受影响的 Trimble SketchUp 安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。

具体缺陷存在于 SKP 文件的解析过程中。问题的根源在于程序在操作对象之前,未验证该对象是否存在。攻击者可利用此漏洞在当前进程的上下文中执行代码。

补充信息 该漏洞已在 SketchUp 2026 版本 26.0.429 中修复。

披露时间线

  • 2025-07-31 - 向供应商报告漏洞
  • 2025-12-29 - 协调发布公开公告
  • 2025-12-29 - 公告更新

致谢 Trend Research 的 Kevin Salapatek

返回公告列表

一般咨询

zdi@trendmicro.com

在 X 上找到我们 @thezdi

在 Mastodon 上找到我们 Mastodon

媒体咨询 media_relations@trendmicro.com

敏感邮件通信 PGP 密钥

关于我们 我们的使命 Trend Micro TippingPoint IPS

运作方式 流程 研究员奖励 常见问题 隐私

公告 已发布的公告 即将发布的公告 RSS 订阅源

博客

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次