关键信息 漏洞概述 CVE编号: CVE-2025-4948 公开日期: 2025年5月19日 CVSS v3 基本分数: 7.5 影响: 重要 描述 漏洞类型: 整数下溢(Integer Underflow) 受影响函数: 库: libsoup HTTP 库 问题: 当处理特制的 multipart 消息时,内部计算可能出错,导致整数下溢,进而访问无效内存并崩溃。 声明 严重性: 高 远程触发: 可以在没有用户交互的情况下远程触发 影响: 导致服务崩溃或依赖 libsoup 进行 HTTP multipart 消息处理的应用程序崩溃,最终导致拒绝服务(DoS) 缓解措施 建议: 避免使用未经验证的 multipart HTTP 消息源,直到更新包可用;部署应用级过滤器或 HTTP 代理以拒绝恶意 multipart 请求;尽快应用供应商提供的补丁。 受影响的包和发布的 Red Hat 安全公告 受影响的产品: - Red Hat Enterprise Linux 6 - Red Hat Enterprise Linux 7 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 9 CVSS v3 分数详情 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 作用范围: 不变 机密性影响: 无 完整性影响: 无 可用性影响: 高 弱点理解 (CWE) CWE编号: CWE-191 类型: 整数下溢(Wrap or Wraparound) 技术影响: DoS: 崩溃、退出或重启;DoS: 资源消耗(CPU);DoS: 资源消耗(内存);DoS: 不稳定性