发现 ClamAV DoS 缺陷的概念验证：CVE-2025-20128

思科发布了一份安全公告，详细说明了开源防病毒引擎 ClamAV 的对象链接与嵌入 2 (OLE2) 文件解密例程中的一个漏洞。该漏洞的编号为 CVE-2025-20128，可使未经身份验证的远程攻击者在受影响的设备上造成拒绝服务 (DoS) 情况。

根据该通报，此漏洞是由于边界检查期间的整数下溢而产生的，这会导致堆缓冲区溢出读取。当攻击者提交包含 OLE2 内容的恶意制作文件供 ClamAV 扫描时，就会发生利用。成功利用该漏洞会终止扫描过程，导致防病毒引擎暂时失效。

思科解释道：“此漏洞是由于边界检查中的整数下溢导致的，允许堆缓冲区溢出读取。攻击者可以通过提交包含 OLE2 内容的精心设计的文件来利用此漏洞，让受影响设备上的 ClamAV 进行扫描。”由此产生的拒绝服务可能会延迟或中断受影响系统上的关键扫描操作。

该漏洞影响多个平台，包括：

• Linux：安全端点连接器（已在 1.25.1 版本中修复）

• Mac：安全端点连接器（已在 1.24.4 版中修复）

• Windows：安全端点连接器（已在 7.5.20 和 8.4.3 版本中修复）

• 安全端点私有云：（已在 4.2.0 版本中解决，并附带更新的连接器）

值得注意的是，虽然思科安全端点私有云本身不受影响，但该漏洞会影响通过该平台分布的端点连接器。

CVE-2025-20128 的 CVSS 基本评分为 6.9，属于中等严重性问题。该通报强调，尽管该漏洞可能会破坏扫描过程，但不会损害整个系统的稳定性。思科向客户保证，更广泛的系统受到损害的可能性仍然很低。

思科产品安全事件响应小组 (PSIRT) 承认存在针对此漏洞的概念验证攻击代码。但是，该公告指出，“思科 PSIRT 并未发现任何恶意利用此公告中描述的漏洞的情况。”

思科已发布 ClamAV 的修补版本（1.4.2 和 1.0.8）来修复此漏洞。强烈建议客户更新到这些版本或通过思科安全端点门户应用修复的端点连接器版本。虽然没有可用的解决方法，但端点连接器的自动更新可以帮助确保受影响的设备无缝地收到必要的修复。

原文始发于微信公众号（Ots安全）：发现 ClamAV DoS 缺陷的概念验证：CVE-2025-20128