• 漏洞编号：CVE-2025-27363
• 漏洞等级：高危
• 漏洞标签：影响百万级、关键漏洞、POC公开
• 发布时间：2025-04-15

漏洞描述

在 FreeType 版本 2.13.0 及以下版本中，当尝试解析与 TrueType GX 和可变字体文件相关的字体子字形结构时，存在一个越界写入漏洞。易受攻击的代码将一个有符号的短整型值赋给一个无符号长整型，然后加上一个静态值，导致它环绕并分配一个过小的堆缓冲区。然后，代码相对于这个缓冲区越界写入多达 6 个有符号长整型整数。这可能导致任意代码执行。这个漏洞可能已经在野外被利用。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/395041