CVE-2025-57052:cJSON库存在CVSS 9.8高危JSON解析漏洞(含PoC)
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
安全研究员Salah Chafai披露,cJSON库存在高危漏洞CVE-2025-57052,CVSS评分9.8。攻击者可利用畸形JSON指针绕过边界检查,导致内存越界、崩溃或权限提升。漏洞源于decode_array_index_from_pointer函数的逻辑错误,修复方法为修正循环条件判断。受影响的软件包括嵌入式设备和Web API。
🎯
关键要点
-
安全研究员Salah Chafai披露cJSON库存在高危漏洞CVE-2025-57052,CVSS评分9.8。
-
攻击者可利用畸形JSON指针绕过边界检查,导致内存越界、崩溃或权限提升。
-
漏洞源于decode_array_index_from_pointer函数的逻辑错误,循环条件判断不当。
-
受影响的软件包括嵌入式设备和Web API,任何使用cJSON解析JSON指针的软件都可能遭受拒绝服务攻击。
-
攻击者可通过段错误使服务崩溃,或读取已分配内存区域外的数据实现权限提升。
-
修复方法为修正循环条件判断,确保每个字符在被解析为数组索引前都经过正确验证。
❓
延伸问答
CVE-2025-57052漏洞的CVSS评分是多少?
CVE-2025-57052漏洞的CVSS评分为9.8。
攻击者如何利用CVE-2025-57052漏洞?
攻击者可以构造畸形JSON指针绕过边界检查,导致内存越界、崩溃或权限提升。
CVE-2025-57052漏洞的根本原因是什么?
漏洞源于decode_array_index_from_pointer函数的逻辑错误,循环条件判断不当。
哪些软件受CVE-2025-57052漏洞影响?
受影响的软件包括嵌入式设备和Web API,任何使用cJSON解析JSON指针的软件都可能受到影响。
如何修复CVE-2025-57052漏洞?
修复方法为修正循环条件判断,确保每个字符在被解析为数组索引前都经过正确验证。
CVE-2025-57052漏洞可能导致哪些后果?
可能导致应用程序崩溃、权限提升或拒绝服务攻击。
➡️
