Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-5204)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
26/05/2025
Última modificación:
05/06/2025
Descripción
Se ha encontrado una vulnerabilidad clasificada como problemática en Open Asset Import Library Assimp 5.4.3. Esta afecta a la función MDLImporter::ParseSkinLump_3DGS_MDL7 del archivo assimp/code/AssetLib/MDL/MDLMaterialLoader.cpp. La manipulación provoca lecturas fuera de los límites. Es obligatorio atacar localmente. Se ha hecho público el exploit y puede que sea utilizado. El proyecto decidió recopilar todos los errores de Fuzzer en una incidencia principal para abordarlos en el futuro.
Impacto
Puntuación base 4.0
4.80
Gravedad 4.0
MEDIA
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
1.70
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:assimp:assimp:*:*:*:*:*:*:*:* | 5.4.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/assimp/assimp/issues/6128
- https://github.com/assimp/assimp/issues/6176
- https://github.com/user-attachments/files/20209911/ParseSkinLump-reproducer.zip
- https://vuldb.com/?ctiid_310293=
- https://vuldb.com/?id_310293=
- https://vuldb.com/?submit_578013=
- https://github.com/assimp/assimp/issues/6176