漏洞概述 漏洞名称: SQLite sqldiff 远程代码执行漏洞 CVE编号: CVE-2025-71316 CWE编号: CWE-176 描述: SQLite sqldiff.exe 未安全处理 Microsoft Windows C 运行时将 Unicode 字符转换为 ANSI 代码页的方式。攻击者可以利用 选项加载带有精心构造的命令参数字符串的任意 DLL,导致命令行文件参数被误解释为命令行选项。 发布日期: 2025-12-26 影响范围 受影响产品: - SQLite sqldiff < 2025-12-26 - 产品ID: CSAFPID-0001 已知受影响: - CSAFPID-0001 已修复: - CSAFPID-0002 修复方案 修复版本: SQLite sqldiff 2025-12-26 修复日期: 2025-12-26 修复链接: SQLite 官方修复 其他信息 CVSS评分: 7.8 (HIGH) CVSS向量字符串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 参考链接: - SQLite 官方 - Microsoft 文档 - Blackhat 演示 - CVE 记录 备注 法律通知: 所有信息产品均按“原样”提供,无明示或暗示的保证。 分发: 全球范围内,包括已部署的国家和地区。 类别: 信息技术,关键基础设施部门。 致谢 贡献者: Vincent55 发布日期 最终发布日期: 2025-12-26T00:00:00Z