关键漏洞信息 漏洞标识 CVE编号: CVE-2025-49175 影响程度 重要性: 重要影响 CVSS v3.0评分: 6.1 描述 描述: 在X Rendering扩展程序处理未初始化的数字时发现了一个漏洞。这是一个客户端维护的扩展,该错误确保了至少一个先前使用的缓冲区在释放后被重用,导致代码读取和潜在崩溃。 声明 声明: 此漏洞被视为一个重要问题,因为该漏洞允许X渲染扩展程序的X CopyArea序列中的攻击者通过使用未初始化的数字来访问任意内存位置。这可能导致进程崩溃或使进程能够访问管理员权限的其他窗口内存。此行为可能导致服务器崩溃和拒绝服务,或者使攻击者能够访问受限的内存,从而导致信息泄露。 缓解措施 缓解措施: 对于基于Red Hat Enterprise Linux 8的系统,PowerTools存储库现在提供了一些受影响软件包的新版本。对于其他受支持的应用程序,请更新到最新的版本。 受影响的软件包和发布的Red Hat安全公告 Red Hat Enterprise Linux 8: wayland, wayland-devel, wayland-protocols, wayland-utils, xorg-x11-server-Xwayland Red Hat Enterprise Linux 7: wayland-server, wayland-server-devel Red Hat Enterprise Linux 6: libdrm, libdrm-devel CVSS v3.0评分详情 严重性: 中等 攻击向量: 本地 攻击复杂度: 低 特权要求: 低 用户交互: 无 范围: 不变 机密性影响: 低 完整性影响: 低 可用性影响: 高 弱点理解(CWE) CWE-125: 越界读取 - 机密性: 技术影响:信息泄露;攻击者可以获取诸如加密密钥、PII、内存地址或其他可能用于进一步攻击的信息。 - 完整性: 技术影响:保护机制故障;越界内存读取可能导致其他防护机制失效,从而增加攻击成功的可能性。 - 可用性: 技术影响:降级、崩溃、挂起或异常终止;攻击者可能会导致应用程序崩溃或无法正常运行。 - 其他: 技术影响:意外结果;该错误条件可能导致其他意外或不可预测的结果。