CVE ID | CVE-2025-2098 |
Data publikacji | 26 marca 2025 |
Producent podatnego oprogramowania | Beijing Honghu Yuntu Technology |
Nazwa podatnego oprogramowania | Fast CAD Reader |
Podatne wersje | Wszystkie do 4.1.5 włącznie |
Typ podatności (CWE) | Incorrect Privilege Assignment (CWE-266) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Fast CAD Reader (Beijing Honghu Yuntu Technology) i koordynował proces ujawniania informacji.
Wykryto, że aplikacja Fast CAD Reader na macOS jest instalowana z nieprawidłowymi uprawnieniami plików (rwxrwxrwx). Jest to niezgodne ze standardowymi praktykami bezpieczeństwa macOS, gdzie aplikacje powinny mieć uprawnienia drwxr-xr-x. Podatność CVE-2025-2098 umożliwia przeprowadzenie ataku poprzez Dylib Hijacking. Konto gościa, inni użytkownicy oraz aplikacje mogą wykorzystać tę lukę do eskalacji uprawnień.
Prawdopodobnie wszystkie wersje aplikacji są podatne, ponieważ producent przestał odpowiadać na nasze wiadomości. Ostatnia wersja, która była testowana i również okazała się podatna, to 4.1.5.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi (AFINE Team).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.