Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Flexibits Fantastical
07 sierpnia 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-8533
Data publikacji 07 sierpnia 2025
Producent podatnego oprogramowania Flexibits
Nazwa podatnego oprogramowania Fantastical
Podatne wersje Wszystkie poniżej 4.0.16
Typ podatności (CWE) Incorrect Authorization (CWE-863)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Flexibits Fantastical i koordynował proces ujawniania informacji.

Podatność CVE-2025-8533: Usługa XPC w Flexibits Fantastical nie wdrożyła odpowiednich mechanizmów autoryzacji klienta w metodzie listener:shouldAcceptNewConnection, bezwarunkowo akceptując żądania od dowolnego lokalnego procesu. W rezultacie każdy lokalny, nieuprzywilejowany proces mógł połączyć się z usługą XPC i uzyskać dostęp do jej metod.

Podatność została usunięta w wersji 4.0.16.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi i Sławomirowi Zakrzewskiemu z Afine Team.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.