漏洞关键信息 漏洞名称: FontForge SFD File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability 发布日期: December 29th, 2025 漏洞编号: - ZDI-25-1192 - ZDI-CAN-28547 CVE ID: CVE-2025-15272 CVSS分数: 8.8 - CVSS向量: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 受影响厂商: FontForge 受影响产品: FontForge 漏洞详情: - 此漏洞允许远程攻击者在受影响的FontForge安装上执行任意代码。利用此漏洞需要用户交互,目标必须访问恶意页面或打开恶意文件。 - 该漏洞存在于SFD文件解析中,由于在将用户提供的数据复制到堆基缓冲区之前,缺乏对用户提供的数据长度的适当验证。 - 攻击者可以利用此漏洞以当前用户的上下文执行代码。 额外详情: - 2025-12-12 - ZDI通过第三方平台向厂商提交报告。 - 2025-12-13 - ZDI联系厂商的GitHub账户。 - 2025-12-14 - 厂商拒绝漏洞,仅考虑包含必要修复的拉取请求。 - 2025-12-15 - ZDI通知厂商将于2025年12月29日发布0天公告。 披露时间线: - 2025-12-12 - 向厂商报告漏洞 - 2025-12-29 - 协调公开发布公告 - 2025-12-29 - 公告更新 缓解措施: 鉴于漏洞的性质,唯一的有效缓解策略是限制与产品的交互。 提交者: 匿名