一、 漏洞 CVE-2025-71112 基础信息
漏洞信息
# HNS3 添加VLAN ID验证漏洞
## 概述
在Linux内核的hns3驱动中,处理来自VF的VLAN配置邮箱消息时,未对VLAN ID进行有效性验证,可能导致越界内存访问。
## 影响版本
无明确列出具体版本,涉及使用hns3驱动并支持VF VLAN配置的Linux内核版本。
## 细节
- VLAN ID在接收自VF的邮箱消息时未经过验证。
- `vlan_del_fail_bmap` 的大小为 `BITS_TO_LONGS(VLAN_N_VID)`,即仅支持VLAN_N_VID个位。
- 当VLAN ID ≥ VLAN_N_VID时,未做检查直接使用会导致访问超出`vlan_del_fail_bmap`的位图范围,引发越界内存访问。
## 影响
未经验证的VLAN ID可能导致内核发生越界内存访问,存在潜在的安全风险,如系统崩溃或权限提升。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
net: hns3: add VLAN id validation before using
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the Linux kernel, the following vulnerability has been resolved: net: hns3: add VLAN id validation before using Currently, the VLAN id may be used without validation when receive a VLAN configuration mailbox from VF. The length of vlan_del_fail_bmap is BITS_TO_LONGS(VLAN_N_VID). It may cause out-of-bounds memory access once the VLAN id is bigger than or equal to VLAN_N_VID. Therefore, VLAN id needs to be checked to ensure it is within the range of VLAN_N_VID.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Linux kernel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel存在安全漏洞,该漏洞源于使用前未验证VLAN id,可能导致越界内存访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-71112 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-71112 的情报信息
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:从这个网页截图中可以获取以下关于漏洞的关键信息: - **访问被拒绝**:显示“Access Denied”,表明存在访问限制或授权问题。 - **错误代码**:`4d1dbaddfcc0f385`,这是特定的错误代码,可用于进一步分析或报告问题。 - **保护程序**:网站受到`Anubis`的保护,由`Tearo`提供。 - **版本信息**:当前运行的`Anubis`版本为`1.22.0`,可用于查找已知与此版本相关的漏洞信息。 - **其他信息**:包含了一些设计和制作相关的非关键信息。 这些信息有助于分析和诊断网站 защиты问题。
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:- **Access Control Issue**: The page indicates "Access Denied" with an error code (`4d1dbaddfcc0f385`), suggesting an unsuccessful attempt to access a protected resource. - **Software Version Disclosure**: The screenshot exposes the version of the software stack (`Anubis version 1.22.0`), which could be exploited if known vulnerabilities exist for this version. - **Security Software Mention**: The presence of "Protected by Anubis from Techaro" hints at a specific security solution in use, which is important for vulnerability assessment and potential bypass efforts.
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:- **错误信息**: Access Denied: error code 4d1dbaddfcc0f385 - **防护系统**: 由Anubis保护 - **来源**: 从Techo no. - **制作**: 用❤️在🇨🇦制作 - **吉祥物设计**: 由CELPHASE设计 - **版本信息**: 此网站正在运行Anubis版本1.22.0
标题: 503 Service Temporarily Unavailable -- 🔗来源链接
标签:
神龙速读:- **HTTP Status Code:** 503 Service Temporarily Unavailable - **Web Server:** nginx 从截图获取的关于漏洞的关键信息有限,主要是网站当前状态代码和使用的Web服务器。进一步的漏洞分析需要更多的网络信息或者对服务器配置的了解。
标题: 503 Service Temporarily Unavailable -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **HTTP状态码**: 503 - **描述**: Service Temporarily Unavailable - **服务器类型**: nginx
标题: 503 Service Temporarily Unavailable -- 🔗来源链接
标签:
神龙速读:这个网页截图显示了一个Nginx服务器返回的503错误页面,表示服务暂时不可用。从这个截图中我们可以获取以下关键信息: - 服务状态: 503 Service Temporarily Unavailable - 服务器类型: nginx 这可能意味着当前请求的资源或服务暂时不可用。通常,503错误是暂时的,并可以通过稍后重试来解决。它也可能提示后端服务器(例如应用程序服务器或数据库)正在经历高负载或正在进行维护/升级。
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:从这张网页截图中,我们可以获取到以下关于漏洞的关键信息: - **Access Denied**: 提示访问被拒绝,表明可能存在权限问题或未授权访问尝试。 - **Error Code:** 显示了一个具体的错误代码 `4d1dbaddfcc0f385`,这可能是调试或追踪漏洞的关键信息。 - **Protected by Anubis:** 提示网站使用了名为“Anubis”的安全防护系统,可能是一个WAF(Web Application Firewall)。 - **Version Information:** 网站当前运行的Anubis版本为 `1.22.0`,这对于研究已知漏洞或版本相关的安全问题很重要。 这些信息可以帮助安全研究人员进行进一步的分析和测试,以确定是否存在潜在的漏洞。
- https://nvd.nist.gov/vuln/detail/CVE-2025-71112
四、漏洞 CVE-2025-71112 的评论
匿名用户
2026-01-15 06:08:15Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.