CVE-2025-70067
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
W bibliotece Assimp w wersjach do 6.0.2 wykryto podatność na przepełnienie bufora w importerze FBX. Problem występuje w funkcji aiMaterial::AddBinaryProperty, gdzie klucz właściwości z spreparowanego pliku FBX jest kopiowany do stałego bufora na stercie za pomocą strcpy() bez walidacji długości.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu lub spowodowania awarii aplikacji używającej biblioteki Assimp do przetwarzania plików FBX, co stanowi poważne ryzyko dla integralności i dostępności systemu.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Assimp do wersji 6.0.3 lub nowszej, która zawiera poprawkę eliminującą podatność. Jeśli aktualizacja nie jest możliwa, należy unikać przetwarzania niezaufanych plików FBX.
Oryginalny opis (angielski, źródło NVD)
Buffer Overflow vulnerability exists in Assimp versions up to 6.0.2 in the FBX Importer. The vulnerability occurs in aiMaterial::AddBinaryProperty, where a property key string from a crafted FBX file is copied into a fixed-size heap buffer using strcpy() without runtime length validation

