Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15118

Опубликовано: 26 нояб. 2025
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость функции LZ4_decompress_fast() библиотеки для сжатия данных lz4-java связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании и раскрыть защищаемую информацию

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

lz4-java

Версия ПО

до 1.8.0 включительно (lz4-java)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://github.com/yawkat/lz4-java/releases/tag/v1.8.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00065
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-12183

ubuntu
2 месяца назад

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.

nvd логотип

CVE-2025-12183

nvd
2 месяца назад

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.

debian логотип

CVE-2025-12183

debian
2 месяца назад

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier ...

github логотип

GHSA-vqf4-7m7x-wgfc

github
2 месяца назад

LZ4 Java Compression has Out-of-bounds memory operations which can cause DoS

EPSS

Процентиль: 20%
0.00065
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2