漏洞概述 漏洞名称: CVE-2025-70101 - Out-of-Bounds Read in Iwext4 漏洞类型: CWE-125 - Out-of-Bounds Read 受影响组件: - 函数 - 函数 受影响产品: Iwext4 (Lightweight EXT4 filesystem library) 受影响版本: Iwext4 1.0.0, commit 58bcf89a121b72d4b66334f1693d3b30e4cb9c5. 影响基于或等同于2016-era代码库的版本。 攻击条件: 攻击者提供一个特别构造或损坏的EXT4镜像给任何集成Iwext4进行挂载和目录遍历的应用程序。不需要提升权限;只需要本地访问(AVL)来提供恶意镜像。 影响: 越界读取导致立即进程崩溃(SEGFAULT),在地址0x521000062a28处读取,导致服务拒绝。未观察到代码执行证据。 修复方案 修复/缓解状态: 该问题已在Iwext4 v1.0.1中解决,由Aladdin-R-D发布。用户应升级到v1.0.1或应用相应的补丁。 参考链接 Issue: github.com/gkostka/iwext4/issues/... PoC: github.com/sigdevel/pocs/blob/... Fix: github.com/Aladdin-R-D/iwext4/... 贡献者 Alexander A. Shvedov (@sigdevel) & Daniil Dulov