CVE-2025-54878 (CNNVD-202508-967)

HIGH
中文标题:
NASA CryptoLib 安全漏洞
英文标题:
Heap Buffer Overflow in NASA CryptoLib 1.4.0 `Crypto_TC_Check_IV_Setup`
CVSS分数: 8.6
发布时间: 2025-08-11 20:40:15
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

NASA CryptoLib是美国国家航空航天局(NASA)的一个高度优化的加密库,旨在为软件开发者提供一套简洁易用的密码学工具集。 NASA CryptoLib 1.4.0及之前版本存在安全漏洞,该漏洞源于IV设置逻辑中缺少边界检查,可能导致堆缓冲区溢出。

英文描述:

CryptoLib provides a software-only solution using the CCSDS Space Data Link Security Protocol - Extended Procedures (SDLS-EP) to secure communications between a spacecraft running the core Flight System (cFS) and a ground station. A heap buffer overflow vulnerability exists in NASA CryptoLib version 1.4.0 and prior in the IV setup logic for telecommand frames. The problem arises from missing bounds checks when copying the Initialization Vector (IV) into a freshly allocated buffer. An attacker can supply a crafted TC frame that causes the library to write one byte past the end of the heap buffer, leading to heap corruption and undefined behaviour. An attacker supplying a malformed telecommand frame can corrupt heap memory. This leads to undefined behaviour, which could manifest itself as a crash (denial of service) or more severe exploitation. This issue has been patched in version 1.4.0.

CWE类型:
CWE-122
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
nasa CryptoLib < 1.4.1 - - cpe:2.3:a:nasa:cryptolib:<_1.4.1:*:*:*:*:*:*:*
nasa cryptolib * - - cpe:2.3:a:nasa:cryptolib:*:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
https://github.com/nasa/CryptoLib/security/advisories/GHSA-9qph-pxfm-q9g4 x_refsource_CONFIRM
cve.org
访问
https://github.com/nasa/CryptoLib/commit/9b5b294ec09da450d2d4d05aea2db604ead48be1 x_refsource_MISC
cve.org
访问
CVSS评分详情
3.1 (cna)
HIGH
8.6
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
机密性
LOW
完整性
LOW
可用性
HIGH
时间信息
发布时间:
2025-08-11 20:40:15
修改时间:
2025-08-11 20:55:54
创建时间:
2025-11-11 15:40:43
更新时间:
2025-11-11 16:00:09
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2025-54878 2025-11-11 15:23:29 2025-11-11 07:40:43
NVD nvd_CVE-2025-54878 2025-11-11 15:00:59 2025-11-11 07:48:30
CNNVD cnnvd_CNNVD-202508-967 2025-11-11 15:12:53 2025-11-11 08:00:09
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 16:00:09
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202508-967; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202508-967
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:48:30
affected_products_count: 1 → 2; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 1 -> 2
  • data_sources: ['cve'] -> ['cve', 'nvd']