以下是关于该漏洞的关键信息简洁概括,采用 Markdown 格式: --- 关键信息概述 漏洞编号: TALOS-2025-2292 CVE 编号: CVE-2025-61982 影响版本: OpenCFD OpenFOAM 2506 CVSS 分数: 7.8 - CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CWE 编号: CWE-94 - 不当的代码生成控制(代码注入) 漏洞详情 摘要: - OpenFOAM 2506 版本的 Code Stream 功能存在任意代码执行漏洞。攻击者可通过提供恶意模拟文件触发漏洞,导致任意代码执行。 漏洞细节: - OpenFOAM 是一种广泛应用于学术和工业界的开源计算流体动力学软件。 - 其中的字典文件的 #codeStream 规范允许嵌入 C++ 代码,这包括调用敏感的系统函数,如 ,能轻松赋予攻击者对远程机器的访问权限,实现任意代码执行。 - 默认情况下,配置文件中的 选项设为 ,用户运行模拟时允许从不可信来源执行任意代码。 修复建议: - 将 OpenFOAM 配置文件中的 选项设为 ,例如: 时间线: - 2025-11-10: 初次联系供应商 - 2025-11-17: 向供应商披露漏洞 - 2025-11-25: 在供应商的漏洞跟踪器中创建问题 - 2025-12-03: 供应商回复 - 2025-12-08: Talos 回复 - 2025-12-11: 供应商回复并给出修复建议 - 2025-12-18: Talos 反馈 - 2026-02-04: 向供应商请求状态更新 - 2026-02-04: 供应商回复 - 2026-02-11: Talos 回复并公告即将发布的版本日期 - 2026-02-18: 公告发布 发现者: Dimitrios Tatsis of Cisco Talos --- 总结:此报告详述了一个在 OpenFOAM 2506 中发现的任意代码执行漏洞。建议用户尽快根据官方提示调整配置,以防止潜在的安全风险。