GHSA-vqf4-7m7x-wgfc

Опубликовано: 28 нояб. 2025

Источник: github

Github: Прошло ревью

CVSS4: 8.8

Описание

LZ4 Java Compression has Out-of-bounds memory operations which can cause DoS

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.

This is fixed in a forked release: at.yawk.lz4:lz4-java version 1.8.1. The original project has been archived: https://github.com/lz4/lz4-java, and Sonatype has added a redirect from org.lz4:lz4-java:1.8.1 to the new group ID.

Ссылки

Пакеты

Наименование

at.yawk.lz4:lz4-java

maven

Затронутые версииВерсия исправления

< 1.8.1

1.8.1

Наименование

org.lz4:lz4-java

maven

Затронутые версииВерсия исправления

< 1.8.1

1.8.1

Наименование

org.lz4:lz4-pure-java

maven

Затронутые версииВерсия исправления

<= 1.8.0

Отсутствует

Наименование

net.jpountz.lz4:lz4

maven

Затронутые версииВерсия исправления

<= 1.3.0

Отсутствует

EPSS

Процентиль: 20%

0.00065

Низкий

8.8 High

CVSS4

CVE ID

CVE-2025-12183

Дефекты

CWE-125

Связанные уязвимости

CVE-2025-12183

ubuntu

2 месяца назад

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.

CVE-2025-12183

nvd

2 месяца назад

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.

CVE-2025-12183

debian

2 месяца назад

Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier ...

BDU:2025-15118

CVSS3: 9.1

fstec

2 месяца назад

Уязвимость функции LZ4_decompress_fast() библиотеки для сжатия данных lz4-java, позволяющая нарушителю вызвать отказ в обслуживании и раскрыть защищаемую информацию

EPSS

Процентиль: 20%

0.00065

Низкий

8.8 High

CVSS4

CVE ID

CVE-2025-12183

Дефекты

CWE-125