| CVE ID | CVE-2025-8672 |
| Data publikacji | 11 sierpnia 2025 |
| Producent podatnego oprogramowania | GIMP |
| Nazwa podatnego oprogramowania | GIMP |
| Podatne wersje | Wszystkie poniżej 3.1.4.2 (macOS) |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-53811 |
| Data publikacji | 26 sierpnia 2025 |
| Producent podatnego oprogramowania | Mosh-Pro |
| Nazwa podatnego oprogramowania | Mosh-Pro |
| Podatne wersje | Wszystkie do 1.3.2 włącznie (macOS) |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-9190 |
| Data publikacji | 26 sierpnia 2025 |
| Producent podatnego oprogramowania | Cursor |
| Nazwa podatnego oprogramowania | Cursor |
| Podatne wersje | Wszystkie do 15.4.1 włącznie (macOS) |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-8597 |
| Data publikacji | 26 sierpnia 2025 |
| Producent podatnego oprogramowania | MacVim |
| Nazwa podatnego oprogramowania | MacVim |
| Podatne wersje | Wszystkie poniżej r181.2 (macOS) |
| Typ podatności (CWE) | Exposure of Sensitive System Information to an Unauthorized Control Sphere (CWE-497) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-8700 |
| Data publikacji | 26 sierpnia 2025 |
| Producent podatnego oprogramowania | Invoice Ninja |
| Nazwa podatnego oprogramowania | Invoice Ninja |
| Podatne wersje | Wszystkie poniżej 5.0.175 (macOS) |
| Typ podatności (CWE) | Exposure of Sensitive System Information to an Unauthorized Control Sphere (CWE-497) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-53813 |
| Data publikacji | 26 sierpnia 2025 |
| Producent podatnego oprogramowania | Nozbe |
| Nazwa podatnego oprogramowania | Nozbe |
| Podatne wersje | Wszystkie poniżej 2025.11 (macOS) |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu GIMP, Mosh-Pro, Cursor, MacVim, Nozbe oraz Invoice Ninja i koordynował proces ujawniania informacji.
Podatność CVE-2025-8672: Wersja GIMP dla macOS zawiera interpreter Pythona, który dziedziczy uprawnienia TCC (Transparency, Consent, and Control) nadane przez użytkownika głównej aplikacji. Atakujący z dostępem do lokalnego konta użytkownika może uruchomić ten interpreter z dowolnymi poleceniami lub skryptami, wykorzystując wcześniej nadane uprawnienia TCC do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych prywatnością — bez wywoływania dodatkowych monitów systemowych.
Problem został naprawiony w wersji 3.1.4.2 programu GIMP.
Podatność CVE-2025-53811: Mosh-Pro na systemy macOS posiada flagę „RunAsNode”, co umożliwia lokalnemu atakującemu z nieuprzywilejowanym dostępem wykonanie dowolnego kodu, wykorzystując wcześniej nadane uprawnienia TCC (Transparency, Consent, and Control) do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych prywatnością — bez wywoływania dodatkowych monitów systemowych.
Problem został wykryty w wersji 1.3.2 programu Mosh-Pro. Ponieważ autorzy nie odpowiedzieli na wiadomości od nas, status poprawek pozostaje nieznany.
Podatność CVE-2025-9190: Cursor na systemy macOS posiada flagę „RunAsNode”, co umożliwia lokalnemu atakującemu z nieuprzywilejowanym dostępem wykonanie dowolnego kodu, wykorzystując wcześniej nadane uprawnienia TCC (Transparency, Consent, and Control) do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych prywatnością — bez wywoływania dodatkowych monitów systemowych.
Problem został wykryty w wersji 15.4.1 programu Cursor. Autorzy projektu zdecydowali się nie naprawiać tej podatności, ponieważ scenariusz obejmujący lokalnego atakującego wykracza poza ich zdefiniowany model zagrożeń.
Podatność CVE-2025-53813: Nozbe na systemy macOS posiada flagę „RunAsNode”, co umożliwia lokalnemu atakującemu z nieuprzywilejowanym dostępem wykonanie dowolnego kodu, wykorzystując wcześniej nadane uprawnienia TCC (Transparency, Consent, and Control) do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych prywatnością — bez wywoływania dodatkowych monitów systemowych.
Problem został naprawiony w wersji 2025.11 programu Nozbe.
Podatność CVE-2025-8597: Konfiguracja MacVim w systemie macOS, a konkretnie obecność uprawnienia „com.apple.security.get-task-allow”, umożliwia lokalnym atakującym z nieuprzywilejowanym dostępem (np. poprzez złośliwą aplikację) podłączenie debugera, odczyt lub modyfikację pamięci procesu, wstrzyknięcie kodu w kontekście aplikacji mimo korzystania z Hardened Runtime oraz ominięcie mechanizmu TCC (Transparency, Consent, and Control).
Problem został naprawiony w wydaniu r181.2.
PodatnośćCVE-2025-8700: Konfiguracja Invoice Ninja w systemie macOS, a konkretnie obecność uprawnienia „com.apple.security.get-task-allow”, umożliwia lokalnym atakującym z nieuprzywilejowanym dostępem (np. poprzez złośliwą aplikację) podłączenie debugera, odczyt lub modyfikację pamięci procesu, wstrzyknięcie kodu w kontekście aplikacji mimo korzystania z Hardened Runtime oraz ominięcie mechanizmu TCC (Transparency, Consent, and Control).
Problem został naprawiony w wersji 5.0.175.
Zgodnie z dokumentacją Apple, gdy zwykły użytkownik (nie root) uruchamia aplikację z uprawnieniem debugowania, system wyświetla okno autoryzacji proszące o dane uwierzytelniające administratora systemu. Ponieważ taki monit nie pojawia się, gdy proces docelowy posiada uprawnienie „get-task-allow”, obecność tego uprawnienia została uznana za podatność, ponieważ eliminuje jeden krok potrzebny do przeprowadzenia ataku.
We wszystkich przypadkach dostęp atakującego jest ograniczony uprawnieniami, które użytkownik nadał danej podatnej aplikacji. Dostęp do innych zasobów, które nie zostały wcześniej zatwierdzone w ramach TCC, spowoduje wyświetlenie monitu o zgodę w imieniu podatnej aplikacji, co może posłużyć do ukrycia złośliwego działania atakującego.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z zespołu AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.