- شناسه CVE-2025-2761 :CVE
- CWE-787 :CWE
- yes :Advisory
- منتشر شده: آوریل 23, 2025
- به روز شده: آوریل 23, 2025
- امتیاز: 7.8
- نوع حمله: Out-of-bounds write
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: GIMP
- محصول: GIMP
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
این آسیبپذیری باعث اجرای کد از راه دور به دلیل نوشتن خارج از محدوده هنگام پردازش فایلهای FLI در GIMP
می شود. همچنین این آسیبپذیری به مهاجمان راه دور اجازه میدهد که کد دلخواه خود را روی نسخههای آسیبپذیر GIMP اجرا کنند. برای اکسپلویت این آسیبپذیری، تعامل کاربر الزامی است؛ به این معنا که قربانی باید یک صفحهی مخرب و یا یا یک فایل آلوده را باز کند.
توضیحات
مشکل اصلی در پردازش فایلهای FLI رخ میدهد. این نقص ناشی از عدم اعتبارسنجی صحیح دادههای ورودی کاربر است که میتواند باعث شود دادههایی فراتر از انتهای یک بافر تخصیص داده شده نوشته شوند (نوشتن خارج از محدوده(Out-Of-Bounds Write)). مهاجم میتواند از این آسیبپذیری برای اجرای کد مخرب در سطح فرایند جاری سوءاستفاده کند. این مشکل با استفاده از CWE-787 بهعنوان دستهبندی شناخته میشود. این آسیبپذیری بر محرمانگی، یکپارچگی و دسترسپذیری تأثیر میگذارد.
اکسپلویت این آسیبپذیری آسان شناخته شده است. حمله ممکن است از راه دور انجام شود. هیچگونه احراز هویتی برای اکسپلویت موفق لازم نیست. این حمله نیازمند تعامل کاربر و قربانی است.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.0 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 2.10.38 | GIMP |
لیست محصولات بروز شده
| Versions | Product |
| 3.0.0 | GIMP |
نتیجه گیری
این آسیبپذیری در نسخهی GIMP 3.0.0 رفع شده است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-2761
- https://www.cvedetails.com/cve/CVE-2025-2761/
- https://www.gimp.org/news/2025/03/16/gimp-3-0-released/
- https://www.zerodayinitiative.com/advisories/ZDI-25-204/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-2761
- https://vuldb.com/?id.303767
- https://nvd.nist.gov/vuln/detail/cve-2025-2761
- https://cwe.mitre.org/data/definitions/787.html
