一、 漏洞 CVE-2025-12105 基础信息
漏洞信息
                                        # Libsoup HTTP/2读取完成使用后释放漏洞

## 概述

libsoup 库在处理异步消息队列时存在缺陷,该库广泛用于 GNOME 及基于 WebKit 的应用程序中的 HTTP/2 通信管理。

## 影响版本

描述中未明确受影响的具体版本。

## 细节

在特定时机中止网络操作时,由于状态同步缺失,可能导致内部消息队列项被重复释放。  
攻击者可远程触发特定的 HTTP/2 读取与取消操作序列,引发此问题。

## 影响

该漏洞会导致使用已释放内存的访问行为(use-after-free),进而可能造成应用程序崩溃,形成拒绝服务(DoS)条件。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Libsoup: heap use-after-free in libsoup message queue handling during http/2 read completion
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in the asynchronous message queue handling of the libsoup library, widely used by GNOME and WebKit-based applications to manage HTTP/2 communications. When network operations are aborted at specific timing intervals, an internal message queue item may be freed twice due to missing state synchronization. This leads to a use-after-free memory access, potentially crashing the affected application. Attackers could exploit this behavior remotely by triggering specific HTTP/2 read and cancel sequences, resulting in a denial-of-service condition.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
释放后使用
来源:美国国家漏洞数据库 NVD
漏洞标题
libsoup 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libsoup是GNOME项目的一款GNOME的HTTP客户端/服务器库。 libsoup存在资源管理错误漏洞,该漏洞源于异步消息队列处理中缺少状态同步,可能导致释放后重用和拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-12105 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-12105 的情报信息
四、漏洞 CVE-2025-12105 的评论

暂无评论

发表评论