Linux Distros 未修补的漏洞:CVE-2025-62492
medium Nessus 插件 ID 270724
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 当提供负的 fromIndex 参数时QuickJS 引擎的 TypedArray.prototype.indexOf() 实现中存在一个因浮点算术精度错误而产生的漏洞。 * fromIndex 参数读取为双精度变量 $d$用于计算搜索的起始位置。 * 如果 d 为负则计算通过将数组的长度 (len) 与 d 相加相对于数组结尾的索引$$d_{new} = d + \text{len}$$ * 由于内在限制的浮点运算中如果负值 $d$ 极小如 $-1 \times 10^{-20}$则 $d + \text{len}$ 的加法可能导致精度,产生的结果与 $\text{len}$ 完全相等。
* 然后将结果转换为整数索引 $k$: $k = \text{len}$。 * 搜索函数继续读取从索引 $k$ 开始的数组元素。由于有效索引为 $0$ 到 $\text{len}-1$因此在索引 $\text{len}$ 即超出数组末尾的一个元素时开始读取。允许攻击者造成紧接着缓冲区后的一个元素的越界读取。尽管此读取的范围很小(一个元素),但根据执行环境不同,仍可能导致邻近内存内容的信息泄露。 (CVE-2025-62492)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 270724
文件名: unpatched_CVE_2025_62492.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/10/17
最近更新时间: 2025/10/17
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2025-62492
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:U/RC:C
CVSS v4
风险因素: Medium
Base Score: 5.9
Threat Score: 1.7
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:A/AC:H/AT:P/PR:L/UI:P/VC:H/VI:L/VA:L/SC:H/SI:L/SA:L
漏洞信息
CPE: cpe:/o:debian:debian_linux:14.0, p-cpe:/a:debian:debian_linux:quickjs, cpe:/o:debian:debian_linux:13.0
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2025/10/16
参考资料信息
CVE: CVE-2025-62492