一、 漏洞 CVE-2025-8851 基础信息
漏洞信息
# LibTIFF tiffcrop 栈溢出漏洞
## 概述
LibTIFF 在 4.5.1 及之前版本中存在一个漏洞,位于组件 `tiffcrop` 的 `tools/tiffcrop.c` 文件的 `readSeparateStripsetoBuffer` 函数中。
## 影响版本
- LibTIFF ≤ 4.5.1
## 细节
该漏洞是由于在 `readSeparateStripsetoBuffer` 函数中未正确处理 TIFF 图像数据的条带(strip)读取过程,导致栈上缓冲区溢出。
- **漏洞类型**:栈溢出(Stack-based buffer overflow)
- **攻击方式**:需要通过本地访问
- **触发条件**:处理恶意构造的 TIFF 文件
## 影响
成功利用该漏洞可能导致:
- 应用程序崩溃
- 执行任意代码(取决于具体运行环境)
## 补丁信息
- 补丁标识:`8a7a48d7a645992ca83062b3a1873c951661e2b3`
- 建议:升级或应用官方补丁以修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
LibTIFF tiffcrop tiffcrop.c readSeparateStripsetoBuffer stack-based overflow
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in LibTIFF up to 4.5.1. Affected by this issue is the function readSeparateStripsetoBuffer of the file tools/tiffcrop.c of the component tiffcrop. The manipulation leads to stack-based buffer overflow. Local access is required to approach this attack. The patch is identified as 8a7a48d7a645992ca83062b3a1873c951661e2b3. It is recommended to apply a patch to fix this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
栈缓冲区溢出
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-8851 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-8851 的情报信息
-
标题: Attempt to address tiffcrop Coverity scan issues 1605444, 1605445, and 1605449. (8a7a48d7) · Commits · libtiff / libtiff · GitLab -- 🔗来源链接
标签: patch
神龙速读
-
- https://vuldb.com/?ctiid.319382 signature permissions-required
- https://vuldb.com/?submit.624604 third-party-advisory
- https://vuldb.com/?id.319382 vdb-entry technical-description
- https://nvd.nist.gov/vuln/detail/CVE-2025-8851
四、漏洞 CVE-2025-8851 的评论
暂无评论