漏洞关键信息 漏洞概述 漏洞类型: 堆栈使用后释放 (Heap-use-after-free) 受影响版本: <= 3.22.0 修复版本: 3.23.0 严重程度: 中等 CVE ID: CVE-2026-25953 CWE ID: CWE-416 漏洞详情 问题描述: 函数读取已释放的 ,因为 RDPGFX DVC 线程通过 获取裸指针,而主线程可能并发地通过快速窗口删除顺序删除窗口。 关键代码: - 调用 查找 ,但未进行生命周期保护。 - 未获取 ,导致线程间缺乏同步。 - 主线程在快速窗口删除过程中释放 ,但未保护 。 漏洞利用 (PoC) 恶意 RDP 服务器创建 RAIL 窗口,并通过 动态虚拟通道发送大量 GFX + PDU。 在处理前 10 帧后,服务器发送相同的窗口快速删除命令。 客户端的 RD VueFun 处理时触发释放后使用。 修复建议 添加引用计数或延迟释放机制,防止在 RD VueFun 线程仍在引用时立即释放窗口。 影响 恶意服务器可触发客户端堆栈使用后释放,导致拒绝服务和潜在的堆栈损坏,进而可能执行代码,具体取决于内存分配行为和堆栈布局。