一、 漏洞 CVE-2025-37887 基础信息
漏洞信息
# pds_core:处理不支持的PDS_CORE_CMD_FW_CONTROL结果
## 概述
在Linux内核中,`pds_core`模块处理不支持的`PDS_CORE_CMD_FW_CONTROL`命令时存在一个漏洞。可能导致内核打印垃圾数据或崩溃。
## 细节
当固件不支持`PDS_CORE_CMD_FW_CONTROL`命令时,驱动程序可能打印垃圾数据或崩溃。这是因为`fw_list`栈变量未被初始化,导致`fw_list.num_fw_slots`为栈上的垃圾值。然后驱动程序尝试访问超出数组范围的`fw_list.fw_names[i]`。
## 影响
该漏洞可能导致`devlink dev info`命令运行时打印垃圾数据或崩溃。修复方法是初始化`fw_list`并确保即使`devcmd`失败也能打印其他有用信息。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
pds_core: handle unsupported PDS_CORE_CMD_FW_CONTROL result
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the Linux kernel, the following vulnerability has been resolved: pds_core: handle unsupported PDS_CORE_CMD_FW_CONTROL result If the FW doesn't support the PDS_CORE_CMD_FW_CONTROL command the driver might at the least print garbage and at the worst crash when the user runs the "devlink dev info" devlink command. This happens because the stack variable fw_list is not 0 initialized which results in fw_list.num_fw_slots being a garbage value from the stack. Then the driver tries to access fw_list.fw_names[i] with i >= ARRAY_SIZE and runs off the end of the array. Fix this by initializing the fw_list and by not failing completely if the devcmd fails because other useful information is printed via devlink dev info even if the devcmd fails.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Linux kernel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel存在安全漏洞,该漏洞源于未正确处理PDS_CORE_CMD_FW_CONTROL结果,可能导致数组越界访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-37887 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-37887 的情报信息
标题: 503 Service Temporarily Unavailable -- 🔗来源链接
标签:
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **HTTP状态码**: 503 Service Temporarily Unavailable - 表示服务器当前无法处理请求,可能是由于过载或维护。 - **Web服务器类型**: nginx - 显示了使用的Web服务器软件是Nginx。 这些信息可以帮助进一步分析和诊断问题,例如检查Nginx配置、服务器负载情况或正在进行的维护活动。
标题: Making sure you're not a bot! -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **验证码加载问题**:页面显示“Loading...”,表明验证码可能没有正确加载或存在加载延迟的问题。 - **潜在的绕过风险**:如果验证码无法正常加载或验证,攻击者可能有机会绕过这一安全检查机制。 - **技术实现细节**:页面底部提到使用了Anubis和Techaro的技术,这可能暗示了使用的具体技术和框架,有助于进一步分析其安全性。 这些信息提示可能存在与验证码加载和验证相关的安全漏洞。
标题: Making sure you're not a bot! -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **验证码加载问题**:页面显示“Loading...”,表明验证码可能没有正确加载或存在延迟。这可能是由于网络问题、服务器问题或验证码服务本身的问题。 - **反机器人保护机制**:页面标题为“Making sure you're not a bot!”,说明该网站使用了反机器人保护机制,以防止自动化工具的访问。 - **保护服务提供商**:页面底部提到“Protected by Anubis from Techaro”,表明该网站使用了Anubis和Techaro提供的安全服务。 - **用户体验问题**:如果验证码长时间无法加载,可能会导致用户无法继续访问网站内容,影响用户体验。 这些信息可以帮助进一步诊断和解决潜在的安全和用户体验问题。
标题: 503 Service Temporarily Unavailable -- 🔗来源链接
标签:
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **HTTP状态码**: 503 Service Temporarily Unavailable - 表示服务器当前无法处理请求,可能是由于过载或维护。 - **Web服务器类型**: nginx - 显示了使用的Web服务器软件是Nginx。 这些信息可以帮助进一步分析和诊断问题,例如检查Nginx配置、服务器负载情况或后端服务的健康状态。
- https://nvd.nist.gov/vuln/detail/CVE-2025-37887
四、漏洞 CVE-2025-37887 的评论
暂无评论