CVE-2026-9501GNU LibreDWG 是一个用于处理DWG文件的C语言库。在0.14及之前的版本中,src/decode.c文件的decompress_R2004_section函数存在一个安全漏洞。攻击者可以通过本地执行特定的恶意操作,触发可达的断言失败,从而导致应用程序崩溃或服务拒绝。该漏洞利用难度较低,需要本地低权限访问,且目前已有公开的PoC代码和补丁信息披露。
该漏洞源于GNU LibreDWG项目中的Dwgread实用工具组件,具体位于src/decode.c源文件的decompress_R2004_section函数中。由于缺乏对特定输入数据的充分校验,当处理特制的DWG文件时,程序逻辑会触发一个可达的断言(assertion)。断言失败通常会导致程序异常终止。攻击向量为本地(AV:L),攻击者需要具备本地低权限(PR:L)账户,无需用户交互即可利用此漏洞。虽然该漏洞主要影响可用性(A:L),不会导致信息泄露或完整性破坏,但在多用户系统或特定服务场景下,可能被滥用以造成服务中断。补丁提交记录显示,通过提交e501cb9926c1e9a07a0d1cc997f3e69e9be801c9已修复此问题。