Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07004

Опубликовано: 04 мар. 2025
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость компонента Malformed File Handler кроссплатформенной библиотеки импорта 3D-моделей Assimp (Open Asset Import Library) связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Alexander Gessler, Thomas Schulze, Kim Kulling

Наименование ПО

openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
Red Hat Enterprise Linux
Open Asset Import Library (Assimp)

Версия ПО

- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
5.4.3 (Open Asset Import Library (Assimp))

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)
Средний уровень опасности (оценка CVSS 4.0 составляет 4,8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Open Asset Import Library (Assimp):
https://github.com/assimp/assimp/milestone/11
https://github.com/assimp/assimp/issues/6069#issuecomment-2763273425
https://github.com/assimp/assimp/issues/6069
https://github.com/assimp/assimp/releases/tag/v6.0.0
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-3196
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-3196
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-3196.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00029
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-3196

CVSS3: 5.3
ubuntu
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. Affected is the function Assimp::MD2Importer::InternReadFile in the library code/AssetLib/MD2/MD2Loader.cpp of the component Malformed File Handler. The manipulation of the argument Name leads to stack-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component.

redhat логотип

CVE-2025-3196

CVSS3: 5.3
redhat
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. Affected is the function Assimp::MD2Importer::InternReadFile in the library code/AssetLib/MD2/MD2Loader.cpp of the component Malformed File Handler. The manipulation of the argument Name leads to stack-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component.

nvd логотип

CVE-2025-3196

CVSS3: 5.3
nvd
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. Affected is the function Assimp::MD2Importer::InternReadFile in the library code/AssetLib/MD2/MD2Loader.cpp of the component Malformed File Handler. The manipulation of the argument Name leads to stack-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component.

debian логотип

CVE-2025-3196

CVSS3: 5.3
debian
4 месяца назад

A vulnerability, which was classified as critical, was found in Open A ...

github логотип

GHSA-hj96-872g-wqc5

CVSS3: 5.3
github
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. Affected is the function Assimp::MD2Importer::InternReadFile in the library code/AssetLib/MD2/MD2Loader.cpp of the component Malformed File Handler. The manipulation of the argument Name leads to stack-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component.

EPSS

Процентиль: 6%
0.00029
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2