JasPer до 4.2.5 JPEG2000 File jpc_dec.c jpc_dec_dump повреждение памяти

СводкаИнформация

В JasPer до 4.2.5 была найдена уязвимость, классифицированная как критический. Неизвестная функция файла src/libjasper/jpc/jpc_dec.c компонента JPEG2000 File Handler вовлечена. Выполнение манипуляции приводит к повреждение памяти. Эта уязвимость обрабатывается как CVE-2025-8837. Для атаки требуется локальный доступ. Более того, существует эксплойт. Рекомендуется установить патч для исправления данной уязвимости.

ПодробностиИнформация

В JasPer до 4.2.5 была найдена уязвимость, классифицированная как критический. Неизвестная функция файла src/libjasper/jpc/jpc_dec.c компонента JPEG2000 File Handler вовлечена. Выполнение манипуляции приводит к повреждение памяти. Использование CWE для объявления проблемы приводит к тому, что CWE-416. Данная уязвимость была опубликована с идентификатором 402/403. Консультация доступна для загрузки на github.com.

Эта уязвимость обрабатывается как CVE-2025-8837. Для атаки требуется локальный доступ. Имеются технические подробности. Данная уязвимость менее популярна, чем в среднем. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k.

Присвоено значение Доказательство концепции. Эксплойт можно скачать по ссылке drive.google.com. Сканер Nessus предлагает плагин с идентификатором 259922.

Имя патча — 8308060d3fbc1da10353ac8a95c8ea60eba9c25a. Исправление уже готово и доступно для скачивания на github.com. Рекомендуется установить патч для исправления данной уязвимости.

Данная уязвимость также присутствует в других базах данных уязвимостей: Tenable (259922).

Затронуто

  • SUSE openSUSE
  • Open Source JasPer

ПродуктИнформация

Тип

Имя

Версия

Лицензия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Вектор: 🔒

CVSSv3Информация

VulDB Meta Base Score: 6.1
VulDB Meta Temp Score: 6.0

VulDB Базовый балл: 5.3
VulDB Временная оценка: 4.8
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

NVD Базовый балл: 7.8
NVD Вектор: 🔒

CNA Базовый балл: 5.3
CNA Вектор: 🔒

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: повреждение памяти
CWE: CWE-416 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒

Физический: Частично
Локальный: Да
Удалённый: Нет

Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 259922
Nessus Имя: Linux Distros Unpatched Vulnerability : CVE-2025-8837

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

0-дневное время: 🔒

Патч: 8308060d3fbc1da10353ac8a95c8ea60eba9c25a

ХронологияИнформация

10.08.2025 Консультация опубликована
10.08.2025 +0 дни Запись VulDB создана
16.09.2025 +37 дни Последнее обновление VulDB

ИсточникиИнформация

Консультация: 402/403
Статус: Подтверждённый

CVE: CVE-2025-8837 (🔒)
GCVE (CVE): GCVE-0-2025-8837
GCVE (VulDB): GCVE-100-319371
CERT Bund: WID-SEC-2025-1755 - JasPer: Mehrere Schwachstellen

scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 10.08.2025 13:20
Обновлено: 16.09.2025 23:26
Изменения: 10.08.2025 13:20 (60), 11.08.2025 22:35 (7), 12.08.2025 09:16 (31), 18.08.2025 08:26 (1), 31.08.2025 17:23 (2), 16.09.2025 23:26 (11)
Завершенный: 🔍
Отправитель: rootsec
Cache ID: 216::103

ОтправитьИнформация

принято

Дубликат

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Want to stay up to date on a daily basis?

Enable the mail alert feature now!