漏洞概述 漏洞名称: CVE-2025-70100 - Divide By Zero in lwest4 漏洞类型: 除零错误 (Divide By Zero) 漏洞描述: 当挂载或解析一个特别构造的EXT4镜像时,如果该镜像编码了一个零逻辑块大小,lwest4会将这个无效值传递给 函数。该函数在没有进行验证的情况下执行算术运算,并触发除零错误导致崩溃。 影响范围 受影响组件: - 函数 - 函数 受影响产品: lwest4 (轻量级EXT4文件系统库) 受影响版本: lwest4 1.0.0, commit 58bcf89a9121b72d4fb66334f1693d3b30e4cb9c5。影响基于或等同于2016年代码库的版本。 攻击条件: 攻击者提供一个特别构造或损坏的EXT4镜像给任何集成lwest4进行挂载或镜像处理的应用程序。不需要提升权限;只需要本地访问(AVL)来提供恶意镜像。 修复方案 修复状态: 该问题已在lwest4 v1.0.1中解决,由Aladdin-R-D发布。用户应升级到v1.0.1或应用相应的补丁。 POC代码 其他信息 报告者: Alexander A. Shvedov (@sigdevel) & Daniil Dulov 发布日期: May 31, 2025, 07:28 PM 最后编辑: May 31, 07:37 PM