根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: NOTHINGS STB UP TO 1.22 STB_VORBIS.C START_DECODER OUT-OF-BOUNDS WRITE CVE编号: CVE-2025-5317 (在Summary和Details部分都有提到) CVSS评分: 5.7 (Medium) 当前利用价格: $0-$5k CWE: CWE-787 (Out-of-bounds Write) 描述: 在Nothing's STB up to 1.22中发现了一个被归类为“problematic”的漏洞。该漏洞影响 文件中的 函数。这种操作会导致越界写入(out-of-bounds write)。攻击者可以远程发起攻击,且无需认证。 2. 影响范围 (Impact/Scope): 受影响产品: Nothing's STB (版本 up to 1.22) 受影响函数: (位于 文件中) 影响: 影响机密性、完整性和可用性。 利用条件: 不需要认证,需要受害者进行某种用户交互。 3. 修复方案 (Remediation): 厂商响应: 厂商在披露前很早就被联系过,但没有任何回应。 补丁状态: 页面未明确提及具体的修复版本或补丁,只提到厂商未回应。 4. POC/Exploit: 链接: 页面底部提到了一个GitHub链接: 。 代码: 截图底部虽然有一行代码 ,但并没有直接展示具体的代码块内容。不过,仔细看截图的最底部,有一行被截断的代码: 。 修正: 实际上,截图并没有包含完整的POC代码块,只提到了下载链接。但是,用户要求“如果页面中包含POC代码或利用代码,务必完整提取代码块”。在这个截图中,并没有实际的代码块(如C语言代码),只有文本描述。等等,再仔细看一眼。 再次检查: 截图最下方有一行小字,看起来像是代码或者链接的一部分,但被截断了。不,那是文本描述。 结论: 页面中没有直接展示POC代码块,只提供了下载链接。因此,我无法提取“完整代码块”,只能说明链接位置。 5. 总结构建: 标题:CVE-2025-5317 漏洞总结 概述:Nothing's STB (v1.22及以下) 的 文件中 函数存在越界写入漏洞。 影响:CVSS 5.7,无需认证,需用户交互,影响CIA三要素。 修复:厂商未回应。 POC:链接在 gist.github.com (截图未展示具体代码)。 最终输出格式化: 按照用户要求的markdown格式输出。 CVE-2025-5317 漏洞总结 漏洞概述 漏洞名称: Nothing's STB up to 1.22 stb_vorbis.c start_decoder out-of-bounds write CVE编号: CVE-2025-5317 CVSS评分: 5.7 (Medium) CWE编号: CWE-787 (Out-of-bounds Write) 描述: 在Nothing's STB (版本1.22及以下) 中发现了一个被归类为“problematic”的漏洞。该漏洞位于 文件的 函数中。攻击者可以通过向该函数输入未知输入来触发越界写入。该漏洞可被远程利用,且不需要任何认证。 影响范围 受影响产品: Nothing's STB (版本 up to 1.22) 受影响组件: 文件中的 函数 安全影响: 影响机密性、完整性和可用性。 利用条件: 不需要认证,但需要受害者进行某种形式的用户交互。 修复方案 厂商响应: 厂商在披露前很早就被联系过,但没有任何回应。 补丁状态: 页面未提供具体的修复版本或补丁信息。 POC/Exploit 利用代码: 页面未直接展示完整代码,但提供了下载链接。 链接:** (页面底部提及: )