CVE-2016-9085

Multiple integer overflows in libwebp allows attackers to have unspecified impact via unknown vectors.

公开: 2017-02-03 最后更新: 2026-06-16 分配方: [email protected] 来源: [email protected]

结论预警: CVE-2016-9085 综合评估为低风险(25.5/100):CVSS 技术影响为低级,利用概率偏低(EPSS 0.43%) 强制指令: 持续跟踪利用情报与 EPSS 变化,并适时复评优先级。

风险随态势动态变化;本站持续评估并同步更新本页展示内容。

CVE-2016-9085 的 EPSS(利用预测评分)

EPSS 日更估计相对被利用可能性;百分位表示该 CVE 在已评分漏洞中的相对排名(越高表示相对更严重)。

# 日期 旧 EPSS 分数 新 EPSS 分数 变化(新 − 旧)
1 2026-06-15 0.07% 0.43% +0.36%
2 2023-03-07 1.28% 0.07% -1.22%
3 2022-02-04 1.28%

完整 EPSS 历史 (共 3 条)

CVE-2016-9085 的 CVSS 指标

该 CVE 的 CVSS 指标。

底座分 版本 严重度 向量 可利用性 影响 分数来源
3.3 3.1 LOW
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 点击展开
攻击向量 (AV:L)
需要先拿到目标主机上的执行面,或依赖其他用户误操作/恶意操作来触发。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:L)
一般用户权限即可,不必是管理员或 root。
用户交互 (UI:N)
无需受害者点击链接、放行宏或安装软件,攻击链可自动走完。
作用域 (S:U)
破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:N)
几乎谈不上实质性的敏感数据外泄。
完整性影响 (I:N)
对记录真实性与不可否认性的破坏可忽略。
可用性影响 (A:L)
出现明显延迟、间歇性故障或局部功能不可用,但可用运维手段缓解。
1.8 1.4 [email protected]
2.1 2.0 LOW
AV:L/AC:L/Au:N/C:N/I:N/A:P 点击展开
访问路径 (AV:L)
需本地登录或本机交互,远程触达不足以单独完成利用。
访问复杂度 (AC:L)
步骤短、路径清晰,复现成本低。
认证 (AU:N)
全程无需有效身份。
机密性影响 (C:N)
对机密性无影响。
完整性影响 (I:N)
对完整性无影响。
可用性影响 (A:P)
可用性受到部分损害。
3.9 2.9 [email protected]

CVE-2016-9085 的弱点枚举

CVE-2016-9085 的 OS 跟踪

vendor priority summary link
debian unimportant CVE-2016-9085 unimportant priority: Debian including 1 source packages (libwebp), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5. https://security-tracker.debian.org/tracker/CVE-2016-9085
gentoo normal CVE-2016-9085: 1 GLSA(s) (201701-61), 1 atom(s) (media-libs/libwebp); latest impact normal. https://bugs.gentoo.org/buglist.cgi?quicksearch=CVE-2016-9085
redhat low https://access.redhat.com/security/cve/CVE-2016-9085
suse critical CVE-2016-9085 severity critical: SUSE including 35 source package names (libsharpyuv0-1.5.0-160000.2.2, libwebp, …), 52 product×package rows across 11 product lines (SUSE Linux Enterprise Module for Basesystem 15 SP2, SUSE Linux Enterprise Module for Basesystem 15 SP3, … (11 product lines)): Fixed 45, Known Not Affected 7. https://www.suse.com/security/cve/CVE-2016-9085/
ubuntu medium CVE-2016-9085 medium priority: Ubuntu including 1 source packages (libwebp), 14 status rows across 14 suites (artful, bionic, cosmic, disco, eoan, focal, groovy, hirsute, precise, trusty, upstream, xenial, yakkety, zesty): not-affected 7, ignored 6, needs-triage 1. https://ubuntu.com/security/CVE-2016-9085

CVE-2016-9085 的影响软件 / 配置

厂商 产品 版本 原始 CPE
webmproject libwebp <= 0.5.2 cpe:2.3:a:webmproject:libwebp:*:*:*:*:*:*:*:*
fedoraproject fedora 24 cpe:2.3:o:fedoraproject:fedora:24:*:*:*:*:*:*:*
fedoraproject fedora 25 cpe:2.3:o:fedoraproject:fedora:25:*:*:*:*:*:*:*

CVE-2016-9085 的参考链接

URL 标签
http://www.openwall.com/lists/oss-security/2016/10/27/3 Mailing List Patch Third Party Advisory
http://www.securityfocus.com/bid/93928 Third Party Advisory VDB Entry
https://bugzilla.redhat.com/show_bug.cgi?id=1389338 Issue Tracking Patch Third Party Advisory
https://chromium.googlesource.com/webm/libwebp/+/e2affacc35f1df6cc3b1a9fa0ceff5ce2d0cce83 Issue Tracking Patch Third Party Advisory
https://lists.apache.org/thread.html/rf9fa47ab66495c78bb4120b0754dd9531ca2ff0430f6685ac9b07772%40%3Cdev.mina.apache.org%3E
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LG5Q42J7EJDKQKWTTHCO4YZMOMP74YPQ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PTR2ZW67TMT7KC24RBENIF25KWUJ7VPD/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SH6X3MWD5AHZC5JT4625PGFHAYLR7YW7/
https://security.gentoo.org/glsa/201701-61 Third Party Advisory VDB Entry
cvelogic Threat Intelligence