CVE-2025-9557 - 蓝牙Mesh:gen_prov_cont中的越界写入漏洞
概述
CVE-2025-9557是一个存在于Zephyr项目蓝牙Mesh组件中的高危漏洞,CVSS评分为7.6分(高风险)。该漏洞属于越界写入漏洞,攻击者可利用此漏洞在目标设备上执行任意代码。即使设备具备某种形式的内存保护机制,攻击仍可导致系统崩溃并引发拒绝服务。
漏洞时间线
- 发布日期:2025年11月26日 上午6:15
- 最后修改日期:2025年11月26日 上午6:15
漏洞描述
越界写入漏洞可导致任意代码执行。即使设备具备某种形式的内存保护机制,此漏洞仍可导致系统崩溃并引发拒绝服务。
信息来源:vulnerabilities@zephyrproject.org 远程利用可能性:否
受影响产品
以下产品受到CVE-2025-9557漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Zephyrproject | zephyr |
总计受影响厂商:1 受影响产品数量:1
CVSS评分
通用漏洞评分系统是评估软件和系统漏洞严重程度的标准化框架。我们为每个CVE收集并展示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.6 | CVSS 3.1 | 高 | e2e69745-5e70-4e92-8431-deb5529a81ad | |||
| 7.6 | CVSS 3.1 | 高 | 2.8 | 4.7 | vulnerabilities@zephyrproject.org | |
| 7.6 | CVSS 3.1 | 高 | 2.8 | 4.7 | MITRE-CVE |
解决方案
修复越界写入漏洞,以防止代码执行和拒绝服务攻击。
- 验证所有内存访问边界
- 为内存操作实施边界检查
- 对所有外部输入进行清理
- 应用相关的安全补丁
参考链接(公告、解决方案和工具)
此处提供精心策划的外部链接列表,这些链接提供与CVE-2025-9557相关的深入信息、实用解决方案和宝贵工具。
CWE - 常见弱点枚举
CVE标识特定的漏洞实例,而CWE则分类可能导致漏洞的常见缺陷或弱点。CVE-2025-9557与以下CWE相关:
- CWE-120:不检查输入大小的缓冲区拷贝(“经典缓冲区溢出”)
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储攻击模式,这些模式描述了对手利用CVE-2025-9557弱点的常见属性和方法。
- CAPEC-8:API调用中的缓冲区溢出
- CAPEC-9:本地命令行实用程序中的缓冲区溢出
- CAPEC-10:通过环境变量的缓冲区溢出
- CAPEC-14:客户端注入导致的缓冲区溢出
- CAPEC-24:通过缓冲区溢出的过滤器故障
- CAPEC-42:MIME转换
- CAPEC-44:溢出二进制资源文件
- CAPEC-45:通过符号链接的缓冲区溢出
- CAPEC-46:溢出变量和标签
- CAPEC-47:通过参数扩展的缓冲区溢出
- CAPEC-67:syslog()中的字符串格式溢出
- CAPEC-92:强制整数溢出
- CAPEC-100:溢出缓冲区
漏洞历史记录
以下表格列出了随时间对CVE-2025-9557漏洞所做的更改。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 新CVE接收 | 由 vulnerabilities@zephyrproject.org | 2025年11月26日 |
|---|---|---|
| 操作 | 类型 | 旧值 |
| 添加 | 描述 | |
| 添加 | CVSS V3.1 | |
| 添加 | CWE | |
| 添加 | 参考链接 |
漏洞评分详情
CVSS 3.1
基础CVSS分数:7.6
- 攻击向量:网络相邻
- 攻击复杂性:低
- 所需权限:无
- 用户交互:无
- 范围:未更改
- 机密性影响:低
- 完整性影响:低
- 可用性影响:高