Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Poedit
22 maja 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-4280
Data publikacji 22 maja 2025
Producent podatnego oprogramowania Poedit
Nazwa podatnego oprogramowania Poedit
Podatne wersje Od 2.0 do 3.6.3
Typ podatności (CWE) Incorrect Default Permissions (CWE-276)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Poedit i koordynował proces ujawniania informacji.

Podatność CVE-2025-4280: Wersja Poedit na urządzenia z systemem MacOS posiada interpreter Python, który dziedziczy uprawnienia nadane głównej aplikacji w systemie Transparency, Consent, and Control (TCC). Atakujący z lokalnym dostępem może uruchomić ten interpreter, za pomocą poleceń bądź skryptów, i wykorzystać uprawnienia głównej aplikacji do uzyskiwania dostępu do plików użytkownika w chronionych folderach, bez wywoływania monitów z prośbą o przyznanie dostępu. Dostęp do pozostałych zasobów, do których uprawnienia nie zostały przyznane, wywoła monit z prośbą o akceptację w imieniu aplikacji Poedit, potencjalnie maskując złośliwe zamiary atakującego.

Ta podatność została usunięta w wersji Poedit 3.6.3.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z Afine Team.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.