支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-56226 基础信息
漏洞信息
                                        # N/A

## 概述
Libsndfile 在版本 1.2.2 及之前存在内存泄漏漏洞,位于 `mpeg_l3_encode.c` 文件的 `mpeg_l3_encoder_init()` 函数中。

## 影响版本
Libsndfile <= 1.2.2

## 细节
漏洞出现在 `mpeg_l3_encode.c` 的 `mpeg_l3_encoder_init()` 函数,当初始化 MP3 编码器时未能正确释放内存,导致内存泄漏。

## 影响
攻击者可能利用该漏洞造成持续内存消耗,长期运行下可能导致服务拒绝(DoS)。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Libsndfile <=1.2.2 contains a memory leak vulnerability in the mpeg_l3_encoder_init() function within the mpeg_l3_encode.c file.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
libsndfile 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libsndfile是libsndfile开源的一款用于读取和写入包含采样音频数据的声音文件的AC库。 Libsndfile 1.2.2及之前版本存在安全漏洞,该漏洞源于mpeg_l3_encoder_init函数存在内存泄漏。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-56226 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-56226 的情报信息

  • 标题: a memory leak issue in sndfile-convert · Issue #1089 · libsndfile/libsndfile -- 🔗来源链接

    标签:

    神龙速读:
                                            **关键漏洞信息:**

1. **漏洞性质:** 内存泄漏
   - 在`sndfile-convert`程序中发现了内存泄漏问题。
   
2. **漏洞详细信息:**
   - 在调用`lame_init()`后,`psf->codec_close`未立即设置为`mpeg_l3_encoder_close`。当触发错误`SFE_MPEG_BAD_SAMPLERATE`时,导致内存泄漏。

3. **相关代码:**
   - `libsndfile/src/mpeg_l3_encode.c` 文件中的代码导致了问题,需要在`psf->codec_close`处进行修复。

4. **影响文件:**
   - `mpeg_l3_encode.c`
   - `sndfile-convert.c`

5. **修复措施:**
   - 提交了两个pull requests (`#1090`和`#1091`) 来修复内存泄漏问题。
```

这些信息表明该漏洞是一个内存泄漏问题,主要涉及`sndfile-convert`程序和`mpeg_l3_encode.c`文件,需要通过修补特定代码段来解决。
    a memory leak issue in sndfile-convert · Issue #1089 · libsndfile/libsndfile

  • 标题: libsndfile: sndfile-convert MP3 encoder memory leak (CVE-2025-56226) (Fixed) · GitHub -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 漏洞关键信息

#### 漏洞概述
- **CVE编号**: CVE-2025-56226
- **漏洞类型**: 内存泄漏
- **影响版本**: libsndfile 1.1.0 到 1.2.2
- **工具**: sndfile-convert
- **受影响文件**: src/mpeg_l3_encode.c
- **相关函数**: `mpeg_l3_encoder_init`

#### 根因分析
- **根本原因**: 在MP3编码器初始化逻辑的错误处理路径中,由 lame_init() 分配的资源在触发早期返回时未被释放。
- **具体问题**: 在 `src/mpeg_l3_encode.c` 中,编码器上下文通过 `lame_init()` 分配,但在成功分配后,对应的清理回调 `psf->codec_close` 没有立即设置。

#### 故障场景
1. `lame_init()` 成功分配了编码器资源。
2. `lame_set_out_samplerate()` 因不支持的采样率失败。
3. 函数返回 `SFE_MPEG_BAD_SAMPLERATE`。
4. 清理回调 `psf->codec_close` 尚未设置。
5. 分配的编码器资源未被释放,导致内存泄漏。

#### 修复描述
- **修复状态**: 已在官方 libsndfile 仓库中修复。
- **相关提交**: ![](https://github.com/libsndfile/libsndfile#1090)
    libsndfile: sndfile-convert MP3 encoder memory leak (CVE-2025-56226) (Fixed) · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-56226
四、漏洞 CVE-2025-56226 的评论
匿名用户
2026-01-15 06:08:34

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论