CVE-2019-25660 CVSS 6.2 中危

CVE-2019-25660 LanHelper本地缓冲区溢出漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2019-25660

漏洞类型

缓冲区溢出

CVSS评分

6.2 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

LanHelper 1.74

漏洞概述

LanHelper 1.74软件在处理用户输入时存在本地缓冲区溢出漏洞。攻击者无需认证即可利用该漏洞，通过在“Form Send Message”功能的文本框中粘贴包含6000字节的超长字符串，导致应用程序发生崩溃，进而造成拒绝服务攻击。

技术细节

该漏洞主要影响LanHelper 1.74版本，其根本原因是程序对特定输入字段缺乏严格的边界长度检查。当攻击者在本地环境下运行该软件，并利用“Form Send Message”功能时，只需向Message文本域粘贴超过6000字节的恶意构造字符串，即可触发栈溢出。由于数据量超过了预设缓冲区的大小，多余的数据将覆盖栈上的返回地址或其他关键数据，导致程序流程异常并强制终止。虽然该漏洞主要导致拒绝服务，且攻击向量为本地，但无需用户交互即可触发，无需特殊权限，对系统可用性构成直接威胁。

攻击链分析

STEP 1

侦察

攻击者确认目标系统上安装了LanHelper 1.74版本。

STEP 2

访问

攻击者获得目标系统的本地访问权限（AV:L）。

STEP 3

漏洞利用

攻击者打开LanHelper，使用“Form Send Message”功能，将生成的6000字节超长字符串粘贴到Message文本框中。

STEP 4

影响

应用程序因缓冲区溢出而崩溃，导致拒绝服务（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept (PoC) for CVE-2019-25660
# This script generates a payload to crash LanHelper 1.74
# by exploiting a buffer overflow in the 'Send Message' feature.

def generate_crash_payload():
    # The vulnerability is triggered by a string of approximately 6000 bytes
    payload_size = 6000
    # Creating a pattern of 'A' characters to overflow the buffer
    crash_payload = "A" * payload_size
    return crash_payload

if __name__ == "__main__":
    print("[+] Generating payload for CVE-2019-25660...")
    print("[+] Copy the text below and paste it into the 'Message' field in LanHelper.")
    print("-" * 30)
    print(generate_crash_payload())
    print("-" * 30)
    print("[+] If successful, the application should crash.")

影响范围

LanHelper 1.74

防御指南

临时缓解措施

如果无法立即升级，应限制用户对LanHelper的使用权限，并避免在不可信环境下运行该程序。同时，应监控应用程序的异常崩溃行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表