https://blog.qife122.com/tags/cwe-787/ Recent content in CWE-787 on 办公AI智能小助手 Hugo zh-cn qife Sat, 10 Jan 2026 06:10:09 +0800 https://blog.qife122.com/p/%E5%AF%8C%E5%A3%AB%E7%94%B5%E6%9C%BAmonitouch-v-sft-6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-53524%E8%BE%B9%E7%95%8C%E5%A4%96%E5%86%99%E5%85%A5%E5%A8%81%E8%83%81%E5%B7%A5%E6%8E%A7%E5%AE%89%E5%85%A8/ Sat, 10 Jan 2026 06:10:09 +0800 https://blog.qife122.com/p/%E5%AF%8C%E5%A3%AB%E7%94%B5%E6%9C%BAmonitouch-v-sft-6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-53524%E8%BE%B9%E7%95%8C%E5%A4%96%E5%86%99%E5%85%A5%E5%A8%81%E8%83%81%E5%B7%A5%E6%8E%A7%E5%AE%89%E5%85%A8/ <p><strong>严重性：高</strong></p> <p><strong>类型：漏洞</strong></p> <p><strong>CVE-2025-53524</strong></p> <p>富士电机 Monitouch V-SFT-6 在处理特制的工程文件时存在一个边界外写入漏洞，这可能允许攻击者执行任意代码。</p> <p><strong>AI 分析</strong></p> <p><strong>技术摘要</strong></p> <p>CVE-2025-53524 是在富士电机的 Monitouch V-SFT-6 软件版本 6.2.7.0 中发现的漏洞，归类为 CWE-787（边界外写入）。该漏洞在处理特制的工程文件时出现，软件不当处理内存边界，导致边界外写入条件。此类缺陷可能损坏内存，使攻击者能够在受影响的系统上执行任意代码。该漏洞需要本地访问，无需特权，但需要用户交互，例如打开或导入恶意工程文件。其 CVSS v3.1 评分为 7.8，表明严重性为高，对机密性、完整性和可用性的影响评级为高。该缺陷影响用于人机界面操作的工业控制系统软件，这些操作在监控工业过程中至关重要。目前尚未列出补丁，也未报告在野存在已知的利用方式，但鉴于漏洞的性质，存在被利用的潜在可能。该漏洞于 2025 年 7 月保留，并于 2025 年 12 月发布，表明是近期发现和披露的。该漏洞的利用可能允许攻击者获得对 HMI 系统的控制，可能中断工业运营或造成安全危害。</p> https://blog.qife122.com/p/autodesk%E5%85%B1%E4%BA%AB%E7%BB%84%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-10882%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Sat, 03 Jan 2026 12:59:57 +0800 https://blog.qife122.com/p/autodesk%E5%85%B1%E4%BA%AB%E7%BB%84%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-10882%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h2 id="cve-2025-10882autodesk共享组件中的cwe-787越界写入漏洞">CVE-2025-10882：Autodesk共享组件中的CWE-787越界写入漏洞</h2> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-10882</strong> CVE-2025-10882 是 Autodesk 共享组件中的一个高严重性越界写入漏洞，影响版本 2026.0。当解析恶意制作的 X_T 文件时触发此漏洞，可能导致当前进程上下文内的崩溃、数据损坏或任意代码执行。利用该漏洞需要本地访问和用户交互，但不需要特权。尽管目前尚未发现已知的野外利用，但此漏洞对机密性、完整性和可用性构成重大风险。使用 Autodesk 产品的欧洲组织，特别是在工程、建筑和制造领域，应在补丁可用后优先修补，并实施严格的文件处理策略。德国、法国和英国等工业与设计行业发达的国家可能受影响最大。缓解措施包括限制 X_T 文件来源、采用应用程序白名单以及监控异常进程行为。CVSS 评分 7.8 反映了此漏洞的高影响和中等攻击复杂性。</p> https://blog.qife122.com/p/php-array_merge%E5%87%BD%E6%95%B0%E5%A0%86%E7%BC%93%E5%86%B2%E5%8C%BA%E6%BA%A2%E5%87%BA%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3-cve-2025-14178/ Mon, 29 Dec 2025 16:21:21 +0800 https://blog.qife122.com/p/php-array_merge%E5%87%BD%E6%95%B0%E5%A0%86%E7%BC%93%E5%86%B2%E5%8C%BA%E6%BA%A2%E5%87%BA%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3-cve-2025-14178/ <h1 id="cve-2025-14178-php-group-php-中的-cwe-787-越界写入漏洞">CVE-2025-14178: PHP Group PHP 中的 CWE-787 越界写入漏洞</h1> <p><strong>严重性：</strong> 中 <strong>类型：</strong> 漏洞 <strong>CVE编号：</strong> CVE-2025-14178</p> <h2 id="描述">描述</h2> <p>在以下PHP版本中：</p> <ul> <li>8.1.* （早于 8.1.34）</li> <li>8.2.* （早于 8.2.30）</li> <li>8.3.* （早于 8.3.29）</li> <li>8.4.* （早于 8.4.16）</li> <li>8.5.* （早于 8.5.1）</li> </ul> <p>当打包数组（packed arrays）的元素总数超过32位限制或HT_MAX_SIZE时，<code>array_merge()</code>函数中会发生堆缓冲区溢出。此漏洞是由于使用<code>zend_hash_num_elements()</code>预计算元素数量时发生了整数溢出。这可能导致内存破坏或程序崩溃，并影响目标服务器的完整性和可用性。</p>