关键漏洞信息 标题: Java-based decompressor implementations can leak information from uninitialized output buffer 严重性: High (8.2/10) 发布时间: 11小时前 CVE ID: CVE-2025-66566 受影响的包及版本 漏洞描述 摘要: Java-based decompressor实现在处理压缩数据时,由于输出缓冲区清理不足,可能会泄露未初始化的缓冲区内容。 详细信息: 在解压缩过程中,某些实现可能会重复使用未清零的输出缓冲区,从而导致数据泄露。 相关CVE: CVE-2025-12183 (这与当前漏洞不同,但有相关性) 缓解措施 升级到lz4-java 1.10.1可以修复此问题。 如果无法升级,可以在调用解压缩函数前将输出缓冲区清零以缓解此漏洞。 CVSS v4 Base Metrics 攻击向量: Network 攻击复杂度: Low 利用需求: Present 特权要求: None 用户互动: None 机密性影响: High 完整性影响: None 可用性影响: None