Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w aplikacji Fast CAD Reader
26 marca 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-2098
Data publikacji 26 marca 2025
Producent podatnego oprogramowania Beijing Honghu Yuntu Technology
Nazwa podatnego oprogramowania Fast CAD Reader
Podatne wersje Wszystkie do 4.1.5 włącznie
Typ podatności (CWE) Incorrect Privilege Assignment (CWE-266)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Fast CAD Reader (Beijing Honghu Yuntu Technology) i koordynował proces ujawniania informacji.

Wykryto, że aplikacja Fast CAD Reader na macOS jest instalowana z nieprawidłowymi uprawnieniami plików (rwxrwxrwx). Jest to niezgodne ze standardowymi praktykami bezpieczeństwa macOS, gdzie aplikacje powinny mieć uprawnienia drwxr-xr-x. Podatność CVE-2025-2098 umożliwia przeprowadzenie ataku poprzez Dylib Hijacking. Konto gościa, inni użytkownicy oraz aplikacje mogą wykorzystać tę lukę do eskalacji uprawnień.

Prawdopodobnie wszystkie wersje aplikacji są podatne, ponieważ producent przestał odpowiadać na nasze wiadomości. Ostatnia wersja, która była testowana i również okazała się podatna, to 4.1.5.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi (AFINE Team).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.