CVE ID | CVE-2025-4280 |
Data publikacji | 22 maja 2025 |
Producent podatnego oprogramowania | Poedit |
Nazwa podatnego oprogramowania | Poedit |
Podatne wersje | Od 2.0 do 3.6.3 |
Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Poedit i koordynował proces ujawniania informacji.
Podatność CVE-2025-4280: Wersja Poedit na urządzenia z systemem MacOS posiada interpreter Python, który dziedziczy uprawnienia nadane głównej aplikacji w systemie Transparency, Consent, and Control (TCC). Atakujący z lokalnym dostępem może uruchomić ten interpreter, za pomocą poleceń bądź skryptów, i wykorzystać uprawnienia głównej aplikacji do uzyskiwania dostępu do plików użytkownika w chronionych folderach, bez wywoływania monitów z prośbą o przyznanie dostępu. Dostęp do pozostałych zasobów, do których uprawnienia nie zostały przyznane, wywoła monit z prośbą o akceptację w imieniu aplikacji Poedit, potencjalnie maskując złośliwe zamiary atakującego.
Ta podatność została usunięta w wersji Poedit 3.6.3.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z Afine Team.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.