CVE-2025-70070Assimp v6.0.2版本中存在一个安全漏洞,该漏洞位于FBXMeshGeometry.cpp文件的MeshGeometry::MeshGeometry()函数中。由于该组件在处理特定输入时缺乏足够的边界检查或异常处理机制,远程攻击者可以通过诱导用户打开特制的恶意文件来触发此漏洞。成功利用该漏洞可能导致应用程序崩溃或系统资源耗尽,从而造成拒绝服务。该漏洞的CVSS v3.1评分为6.5,属于中危级别,攻击复杂度低,无需用户认证,但需要用户交互。此问题主要影响依赖Assimp库进行3D模型加载的应用程序。
该漏洞属于资源管理错误或内存破坏类漏洞的一种表现,具体发生在Assimp库加载和解析FBX(FilmBox)3D模型文件的过程中。在FBXMeshGeometry.cpp文件的MeshGeometry构造函数中,代码在解析网格几何数据时未能正确验证输入数据的完整性或长度。攻击者可以构造一个畸形的FBX文件,其中包含异常的几何数据结构(如过大的数组索引、非预期的数据类型或损坏的数据块)。当Assimp尝试解析这个恶意文件时,MeshGeometry::MeshGeometry()函数可能会触发越界读取、空指针解引用或整数溢出等底层错误。由于解析过程直接操作内存,这种异常会导致应用程序异常终止,进而引发拒绝服务。攻击向量为网络(AV:N),意味着攻击者可以通过分发恶意文件或链接的方式发起攻击。