CVE ID | CVE-2025-8533 |
Data publikacji | 07 sierpnia 2025 |
Producent podatnego oprogramowania | Flexibits |
Nazwa podatnego oprogramowania | Fantastical |
Podatne wersje | Wszystkie poniżej 4.0.16 |
Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Flexibits Fantastical i koordynował proces ujawniania informacji.
Podatność CVE-2025-8533: Usługa XPC w Flexibits Fantastical nie wdrożyła odpowiednich mechanizmów autoryzacji klienta w metodzie listener:shouldAcceptNewConnection
, bezwarunkowo akceptując żądania od dowolnego lokalnego procesu. W rezultacie każdy lokalny, nieuprzywilejowany proces mógł połączyć się z usługą XPC i uzyskać dostęp do jej metod.
Podatność została usunięta w wersji 4.0.16.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi i Sławomirowi Zakrzewskiemu z Afine Team.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.