数据观澜人工智能
快捷导航
您的位置:首页>电脑教程>>CVE-2025-57052:cJSON库存在CVSS 9.8高危JSON解析漏洞(含PoC) >

CVE-2025-57052:cJSON库存在CVSS 9.8高危JSON解析漏洞(含PoC)

  发布时间:2025-12-07 20:00:11   作者:玩站小弟   我要评论
漏洞概述安全研究员Salah Chafai漏洞利用开发与安全专家)近日披露,轻量级C语言JSON解析库cJSON存在一个高危漏洞编号CVE-2025-57052,CVSS评分9.8)。攻击者可构造畸形 。
漏洞概述

安全研究员Salah Chafai(漏洞利用开发与安全专家)近日披露,库存轻量级C语言JSON解析库cJSON存在一个高危漏洞(编号CVE-2025-57052,高危CVSS评分9.8) 。解析攻击者可构造畸形JSON指针绕过数组边界检查 ,漏洞导致内存越界访问、库存段错误 、高危权限提升或拒绝服务攻击 。服务器租用解析

技术细节

该漏洞源于cJSON_Utils.c文件中的漏洞decode_array_index_from_pointer函数 。研究报告指出 :"循环错误地检查pointer[0]而非pointer[position],库存导致非数字字符被当作数组索引处理。高危"

这种逻辑错误意味着类似"0A"的解析输入会被解析为索引10 ,模板下载即使数组仅包含三个元素。漏洞此类越界访问可能导致应用程序崩溃,库存或在特定场景下允许攻击者读取/篡改预期范围外的高危内存  。

漏洞验证

Chafai发布了一个简易C程序演示漏洞利用过程:当使用cJSON解析用户JSON数组时,解析合法索引"0"和"1"能正确返回Alice和Bob的源码库数据 ,但精心构造的索引"0A"会使cJSON尝试访问不存在的第10个元素 。

报告强调:"提供索引0A将导致cJSON访问越界的索引10,源码下载可能引发段错误(崩溃)。"

影响范围

由于cJSON被嵌入到无数项目中  ,受影响软件包括 :

处理JSON指针的Web API依赖轻量级解析器的嵌入式/IoT设备需要结构化JSON输入的桌面/服务器应用

报告警告:"任何使用cJSON解析JSON指针的建站模板软件...都可能遭受拒绝服务攻击 。在可向JSON指针API提供畸形输入的环境中,风险尤为严重 。"

攻击场景

攻击者可利用CVE-2025-57052实现:

通过段错误使服务崩溃利用cJSON与atoi函数解析差异绕过应用层检查通过读取已分配内存区域外的数据实现权限提升或访问敏感信息修复方案

修复方法简单直接:修正循环条件判断。香港云服务器

漏洞代码 :

复制for (position = 0; (pointer[position] >= 0) && (pointer[0] <= 9); position++)1.

修复后代码 :

复制for (position = 0; (pointer[position] >= 0) && (pointer[position] <= 9); position++)1.

该修复确保指针字符串中的每个字符在被解析为数组索引前都经过正确验证。

  • Tag:

相关文章

  • DDoS攻击的无情演变

    鉴于威胁领域的不断创新,与12年、10年甚至5年前的攻击相比,现代分布式拒绝服务 DDoS)攻击几乎已经无法识别。防御快速变化的攻击媒介和创纪录的攻击,对于保护在线基础设施至关重要,但对于缺乏适当资源
    2025-12-07

  • 一文详解服务器芯片CPU与GPU的区别

    引言随着人工智能、大数据分析和高性能计算需求的爆发式增长,智算中心已成为数字经济时代的核心基础设施。在智算中心的硬件架构中,CPU中央处理器)和GPU图形处理器)作为两类最重要的计算芯片,各自扮演着不
    2025-12-07

  • 如何使用人工智能创建蛋白质形状的语言

    马里兰大学的研究人员使用人工智能系统根据生物分子(溶菌酶分子)的不断运动来创建抽象语言。这种语言描述了蛋白质分子的多种形状,以及如何以及何时从一种形状转变为另一种形状,这是了解疾病和开发治疗方法的关键
    2025-12-07

  • 戴尔科技VxRail提供更大存储容量的“优质”型男

    今天,刚打开戴氏家族的群聊好几条消息就顶了出来APEX@所有人,你们听说了吗?大VVxRail)家又有大动作了,动静还挺大。PowerProtect DD我看到他发朋友圈了。PowerMax嚯!全面奔
    2025-12-07

  • 保持警觉,勒索软件HelloXD可能在你的系统上部署新后门

    近日,有观察人士发现,勒索软件HelloXD新部署了一个后门——MicroBackdoor,旨在加强其对受感染主机的持续远程访问。勒索软件HelloXD首次出现在威胁场景发生于2021年11月30日,
    2025-12-07

  • 与时代 共昇腾,昇腾AI人工智能产业峰会在上海成功举行

    [中国,上海,2025年9月18日] 在华为全联接大会2025期间,以“与时代,共昇腾”为主题的昇腾AI人工智能产业峰会在上海成功举行。峰会现场,昇腾MVP聘请仪式成功举办,《超节点发展报告》及昇腾超
    2025-12-07

最新评论