一、 漏洞 CVE-2025-40600 基础信息
漏洞信息
# N/A
## 概述
SonicOS SSL VPN接口中存在一个**外部控制格式字符串漏洞**(Use of Externally-Controlled Format String),攻击者可利用该漏洞在无需身份验证的情况下发起远程攻击,导致服务中断。
## 影响版本
- **SonicOS** 的SSL VPN接口版本中存在该漏洞(具体版本未提供)。
## 漏洞细节
- 漏洞类型:**格式字符串注入**(Format String)。
- 攻击者可控制输入数据中包含格式说明符(如 `%s`, `%x`, `%n` 等),被程序直接用于格式化函数(如 `printf`, `sprintf`)中。
- 由于SSL VPN接口未能正确验证或过滤用户输入,攻击者可构造恶意输入,触发非法内存访问或服务崩溃。
## 影响
- 未经身份验证的远程攻击者可以造成 **服务中断(Denial of Service, DoS)**。
- 潜在可能引发更严重问题,如信息泄露或任意代码执行,视具体实现而定。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Use of Externally-Controlled Format String vulnerability in the SonicOS SSL VPN interface allows a remote unauthenticated attacker to cause service disruption.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用外部控制的格式字符串
来源:美国国家漏洞数据库 NVD
漏洞标题
SonicWALL SonicOS SSLVPN 格式化字符串错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SonicWALL SonicOS SSLVPN是美国SonicWALL公司的一个用于安全远程访问的虚拟专用网络。 SonicWALL SonicOS SSLVPN存在格式化字符串错误漏洞,该漏洞源于外部控制的格式字符串,可能导致服务中断。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
格式化字符串错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-40600 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-40600 的情报信息
四、漏洞 CVE-2025-40600 的评论
暂无评论