Mapnik 4.2.0 本地除零漏洞 (CVE-2025-15564) 公开，项目方尚未回应

Mapnik 开源地图渲染库被曝存在一个本地可利用的除零漏洞，影响 4.2.0 及更早版本。该漏洞位于 `src/value.cpp` 文件的 `mapnik::detail::mod<...>::operator` 函数中，攻击者可在本地通过低权限触发，导致程序可用性受到影响。尽管漏洞细节已公开披露，且项目方很早就通过问题报告获知此事，但截至目前，Mapnik 官方尚未作出正式回应或发布修复补丁。

该漏洞被分配了编号 CVE-2025-15564，其 CVSS 3.1 评分为 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:P/RL:X/RC:R。评分细节表明，这是一个本地攻击向量，攻击复杂度低，所需权限低，无需用户交互。主要影响是可用性降低，对机密性和完整性无直接影响。该漏洞的利用代码已公开，增加了实际被利用的风险。包括 Nixpkgs 在内的多个包管理器安全跟踪器已发布相关公告。

此事件对依赖 Mapnik 进行地理空间数据可视化的应用程序和服务构成了潜在的安全风险。维护者和系统管理员面临压力，需要评估其部署环境是否受影响，并寻求临时缓解措施或等待官方修复。项目方缺乏响应的状态，使得下游用户和发行版（如 NixOS）的维护团队需要自行处理此安全问题，凸显了开源供应链中响应延迟可能带来的运营和安全挑战。