关键信息 日期: December 29th, 2025 标题: (0Day) FontForge SFD File Parsing Use-After-Free Remote Code Execution Vulnerability 标识符: - ZDI-25-1188 - ZDI-CAN-28525 CVE ID: CVE-2025-15280 CVSS 评分: 8.8, AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 受影响厂商: FontForge 受影响产品: FontForge 漏洞详细信息 描述: 该漏洞允许远程攻击者在受影响的FontForge安装上执行任意代码。利用此漏洞需要用户交互,目标必须访问恶意页面或打开恶意文件。 具体问题: 存在于SFD文件解析过程中的缺陷,由于在进行对象操作前未验证对象的存在而导致。 攻击方式: 攻击者可以利用该漏洞在当前用户上下文中执行代码。 附加详细信息 2025-12-12: ZDI通过第三方平台向厂商提交了报告。 2025-12-13: ZDI通过GitHub账户联系了厂商。 2025-12-24: 厂商拒绝了该漏洞,只接受包含所需修复的拉取请求。 2025-12-15: ZDI通知厂商计划在12-29-25公开发布0-day顾问。 缓解措施 给定漏洞性质,唯一有效的缓解策略是限制与产品的交互。 披露时间表 2025-12-12: 向厂商报告漏洞。 2025-12-29: 协调发布公众咨询公告。 2025-12-29: 咨询公告更新。 致谢 匿名提交者