一、 漏洞 CVE-2025-4516 基础信息
漏洞信息
# 带有错误处理程序的“unicode_escape”解码器中的使用后释放漏洞
## 漏洞概述
在使用 `bytes.decode("unicode_escape", error="ignore|replace")` 时,CPython 存在一个问题。如果未使用 "unicode_escape" 编码或错误处理器,你的使用情况不受影响。
## 影响版本
未指定具体版本
## 细节
当使用 `bytes.decode` 方法时,如果 `${error}` 参数设置为 `"ignore"` 或 `"replace"`,并且编码方式为 `"unicode_escape"`, 可能会引发潜在问题。
## 影响
通过将 `bytes.decode()` 调用包在尝试捕获 `DecodeError` 的 try-except 语句中,可以解决这个问题。不再使用 `error=` 处理器也是一个解决办法。
神龙判断
是否为 Web 类漏洞: 否
判断理由:
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-4516 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-4516 的情报信息
-
标题: Use-after-free in `unicode_escape` decoder with error handler · Issue #133767 · python/cpython -- 🔗来源链接
标签: issue-tracking
神龙速读
-
标题: gh-133767: Fix use-after-free in the unicode-escape decoder with an error handler by serhiy-storchaka · Pull Request #129648 · python/cpython · GitHub -- 🔗来源链接
标签: patch
神龙速读
-
标题: Mailman 3 [CVE-2025-4516] Use-after-free crash using bytes.decode("unicode_escape", error="ignore|replace") - Security-announce - python.org -- 🔗来源链接
标签: vendor-advisory
神龙速读![Mailman 3 [CVE-2025-4516] Use-after-free crash using bytes.decode("unicode_escape", error="ignore|replace") - Security-announce - python.org](https://cvepdf.imfht.com:2443//ti_screenshot/2025-05-15/screenshot-full-2025-05-15T16-35-22.306Z-b623e385d6f3c044a41d.webp)
-
标题: [3.14] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@69b4387 · GitHub -- 🔗来源链接
标签: patch
神龙速读![[3.14] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@69b4387 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-05-15/screenshot-full-2025-05-15T16-38-50.709Z-d590903210fdccf52c12.webp)
-
标题: gh-133767: Fix use-after-free in the unicode-escape decoder with an e… · python/cpython@9f69a58 · GitHub -- 🔗来源链接
标签: patch
神龙速读
-
标题: [3.12] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@4398b78 · GitHub -- 🔗来源链接
标签: patch
神龙速读![[3.12] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@4398b78 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-03/screenshot-full-2025-06-03T16-38-33.917Z-1a26d075679c434967d9.webp)
-
标题: [3.13] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@6279eb8 · GitHub -- 🔗来源链接
标签: patch
神龙速读![[3.13] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@6279eb8 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-03/screenshot-full-2025-06-03T16-38-33.117Z-ec2f5f3aa3d6e03ccc90.webp)
-
标题: [3.11] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@73b3040 · GitHub -- 🔗来源链接
标签: patch
神龙速读![[3.11] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@73b3040 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-03/screenshot-full-2025-06-03T16-38-31.924Z-8603f8976164f4489b47.webp)
-
标题: [3.9] gh-133767: Fix use-after-free in the unicode-escape decoder wit… · python/cpython@8d35fd1 · GitHub -- 🔗来源链接
标签: patch
神龙速读![[3.9] gh-133767: Fix use-after-free in the unicode-escape decoder wit… · python/cpython@8d35fd1 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-03/screenshot-full-2025-06-03T16-38-29.452Z-d25df0ee16c45a3d5103.webp)
-
标题: [3.10] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@ab9893c · GitHub -- 🔗来源链接
标签: patch
神龙速读![[3.10] gh-133767: Fix use-after-free in the unicode-escape decoder wi… · python/cpython@ab9893c · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-03/screenshot-full-2025-06-03T16-38-29.074Z-0000b046b320a11a7c86.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-4516
四、漏洞 CVE-2025-4516 的评论
暂无评论