关键漏洞信息 漏洞名称: (0Day) Ashlar-Vellum Graphite VC6 File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability ZDI编号: ZDI-25-639, ZDI-CAN-25755 CVE编号: CVE-2025-7986 CVSS评分: 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) 受影响厂商: Ashlar-Vellum 受影响产品: Graphite 漏洞详情 描述: 该漏洞允许远程攻击者在受影响的Ashlar-Vellum Graphite安装上执行任意代码。利用此漏洞需要用户交互,目标必须访问恶意页面或打开恶意文件。 具体问题: 在解析VC6文件时存在特定缺陷,由于缺乏对用户提供的数据的适当验证,导致写入超出分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程上下文中执行代码。 其他细节 报告时间: 2024年12月19日 - ZDI向厂商报告漏洞 更新请求: 2025年5月2日 - ZDI要求更新 通知发布: 2025年7月15日 - ZDI通知厂商将作为0-day公告发布案例 缓解措施: 鉴于漏洞性质,唯一的有效缓解策略是限制与产品的交互 披露时间线 报告给厂商: 2024年12月19日 协调公开发布: 2025年7月22日 公告更新: 2025年7月22日 致谢 发现者: Rocco Calvi (@TecR0c) with TecSecurity