Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu GIMP
11 sierpnia 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-8672
Data publikacji 11 sierpnia 2025
Producent podatnego oprogramowania GIMP
Nazwa podatnego oprogramowania GIMP
Podatne wersje Wszystkie poniżej 3.1.4.2
Typ podatności (CWE) Incorrect Default Permissions (CWE-276)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu GIMP GIMP i koordynował proces ujawniania informacji.

Podatność CVE-2025-8672: Wersja GIMP dla macOS zawiera interpreter Pythona, który dziedziczy uprawnienia TCC (Transparency, Consent, and Control) nadane przez użytkownika głównej aplikacji. Atakujący z dostępem do lokalnego konta użytkownika może uruchomić ten interpreter z dowolnymi poleceniami lub skryptami, wykorzystując wcześniej nadane uprawnienia TCC do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych prywatnością — bez wywoływania dodatkowych monitów systemowych. Dostęp do innych zasobów, które nie zostały wcześniej zatwierdzone w ramach TCC, spowoduje wyświetlenie monitu o zgodę w imieniu aplikacji GIMP, co może posłużyć do ukrycia złośliwego działania atakującego.

Problem został naprawiony w wersji 3.1.4.2 programu GIMP.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z zespołu Afine.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.