概述
CVE-2025-60715是Windows路由和远程访问服务(RRAS)中的一个堆缓冲区溢出漏洞,允许经过授权的攻击者通过网络执行代码。
漏洞详情
描述:Windows路由和远程访问服务(RRAS)中的堆缓冲区溢出漏洞,允许经过授权的攻击者通过网络执行代码。
漏洞类型:CWE-122: 基于堆的缓冲区溢出
攻击模式:CAPEC-92: 强制整数溢出
技术指标
CVSS 3.1评分:8.0(高危)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
受影响产品
以下Microsoft产品受到CVE-2025-60715漏洞影响:
| ID | 供应商 | 产品 |
|---|---|---|
| 1 | Microsoft | windows_server_2012 |
| 2 | Microsoft | windows_server_2016 |
| 3 | Microsoft | windows_server_2019 |
| 4 | Microsoft | windows_10_1607 |
| 5 | Microsoft | windows_10_1809 |
| 6 | Microsoft | windows_10_21h2 |
| 7 | Microsoft | windows_10_22h2 |
| 8 | Microsoft | windows_server_2022 |
| 9 | Microsoft | windows_11_23h2 |
| 10 | Microsoft | windows_server_23h2 |
| 11 | Microsoft | windows_server_2012_r2 |
| 12 | Microsoft | windows_server_2008_r2 |
| 13 | Microsoft | windows_server_2008_sp2 |
| 14 | Microsoft | windows_11_24h2 |
| 15 | Microsoft | windows_server_2025 |
| 16 | Microsoft | windows_11_25h2 |
总计受影响供应商:1 | 产品数量:16
解决方案
修复建议:
- 安装最新的Windows安全更新
- 根据需要应用累积更新
- 部署可用的热补丁(如果适用)
参考资源
官方公告:
漏洞时间线
- 2025年11月11日:收到来自secure@microsoft.com的新CVE报告
- 2025年11月11日:添加漏洞描述、CVSS v3.1评分、CWE分类和参考链接
相关新闻
BleepingComputer(2025年11月11日): “微软2025年11月补丁星期二修复了1个零日漏洞和63个缺陷”
Zero Day Initiative(2025年11月11日): “2025年11月安全更新回顾”
CybersecurityNews(2025年11月11日): “微软2025年11月补丁星期二 - 修复63个漏洞,包括1个零日漏洞”