关键漏洞信息总结 漏洞概述 CVE编号: CVE-2025-61661 公开日期: 2025-11-18 修改日期: 2025-11-18 6:20:36 PM UTC 严重程度: 中等(Moderate) CVSS v3 评分: 4.8 漏洞描述 描述: - GRUB (Grand Unified Bootloader) 组件中存在一个漏洞,当从USB设备读取信息时,引导加载程序在字符串转换时处理不当,允许攻击者利用不一致的长度值。本地攻击者可以通过在引导序列期间连接恶意配置的USB设备来触发此问题。成功的利用可能导致GRUB崩溃,导致拒绝服务。数据损坏也可能发生,尽管由于利用的复杂性,影响可能有限。 受影响的包和发布的Red Hat安全公告 受影响的产品和服务及组件: - Red Hat Enterprise Linux 10: grub2, 修复待定 - Red Hat Enterprise Linux 7: grub2, 修复待定 - Red Hat Enterprise Linux 8: grub2, 修复待定 - Red Hat Enterprise Linux 9: grub2, 修复待定 - Red Hat OpenShift Container Platform 4: rhcos, 修复待定 CVSS v3 评分详情 CVSS v3 基本分数: 4.8 攻击向量: 物理 攻击复杂度: 高 所需权限: 无 用户交互: 无 作用域: 未更改 保密性影响: 无 完整性影响: 低 可用性影响: 高 弱点理解(CWE) CWE编号: CWE-131 技术影响: 拒绝服务:崩溃、退出或重启;执行未经授权的代码或命令;读取内存;修改内存 描述: 如果错误的计算用于内存分配的上下文中,软件可能会创建一个比预期更小或更大的缓冲区。如果分配的缓冲区比预期的小,这可能导致越界读或写,可能引起崩溃、允许任意代码执行或暴露敏感数据。