Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w aplikacji DaVinci Resolve
28 lutego 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-1413
Data publikacji 28 lutego 2025
Producent podatnego oprogramowania Blackmagic Design Inc
Nazwa podatnego oprogramowania DaVinci Resolve
Podatne wersje Wszystkie do 19.1.3
Typ podatności (CWE) Incorrect Privilege Assignment (CWE-266)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu DaVinci Resolve firmy Blackmagic Design Inc i koordynował proces ujawniania informacji.

Wykryto, że aplikacja DaVinci Resolve na macOS jest instalowana z nieprawidłowymi uprawnieniami plików (rwxrwxrwx). Jest to niezgodne ze standardowymi praktykami bezpieczeństwa macOS, gdzie aplikacje powinny mieć uprawnienia drwxr-xr-x. Podatność CVE-2025-1413 umożliwia przeprowadzenie ataku poprzez Dylib Hijacking. Konto gościa, inni użytkownicy oraz aplikacje mogą wykorzystać tę lukę do eskalacji uprawnień.

Podatność dotyczy aplikacji DaVinci Resolve na macOS w wersjach przed 19.1.3.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi (AFINE Team).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.