CVE-2025-12183: Lz4-java越界内存访问漏洞

关键信息 漏洞概述 CVE ID: CVE-2025-12183 摘要: 多个Lz4-java压缩和解压缩实现没有保护防止越界内存访问。不可信的输入可能导致拒绝服务和信息泄露。 受影响的Maven坐标 org.lz4:lz4-java <=1.8.0 org.lz4:lz4-pure-java <=1.8.0 net.jpountz.lz4:lz4 <=1.8.0 严重程度和弱点枚举 评级: 高 - 8.8 CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:N CWE: CWE-125: 越界读 技术描述 -lz4-java提供了一组压缩和解压缩算法： - 基于lz4库的JNI实现（LZ4Factory.nativeInstance(), LZ4Factory.fastestInstance()） - 使用已弃用的sun.misc.Unsafe API的Java实现（LZ4Factory.unsafeInstance(), LZ4Factory.fastestInstance(), LZ4Factory.fastestJavaInstance()） - 不使用sun.misc.Unsafe的Java实现（LZ4Factory.safeInstance()） 绕过方法 使用LZ4Factory.nativeInstance().fastDecompressor()的应用可以切换到.safeInstance() 使用LZ4Factory.unsafeInstance(), .fastestInstance(), .fastestJavaInstance()的可以切换到.safeInstance() 补丁 由于官方维护者不可用，lz4组织决定停止维护该项目。 社区维护的 fork 版本：https://github.com/yawkat/lz4-java 致谢 Jonas Konrad (Oracle corp.): 发现和修补 Marcono1234: 修补和审查 Sonatype: 披露协调; 重定位 pom

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2025-12183: Lz4-java越界内存访问漏洞

目标达成感谢每一位支持者 — 我们达成了 100% 目标！