Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność TCC Bypass w aplikacji Inkscape na MacOS
22 stycznia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-15523
Data publikacji 22 stycznia 2026
Producent podatnego oprogramowania Inkscape
Nazwa podatnego oprogramowania Inkscape
Podatne wersje Wszystkie poniżej 1.4.3 (MacOS)
Typ podatności (CWE) Incorrect Default Permissions (CWE-276)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Inkscape i koordynował proces ujawniania informacji.

Podatność CVE-2025-15523: Wersja Inkscape dla MacOS zawiera interpreter Pythona, który dziedziczy uprawnienia TCC (Transparency, Consent, and Control) nadane przez użytkownika głównej aplikacji. Atakujący mający dostęp do lokalnego konta użytkownika może uruchomić ten interpreter z dowolnymi poleceniami lub skryptami, wykorzystując wcześniej nadane uprawnienia TCC do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych — bez wywoływania dodatkowych monitów systemowych. Dostęp do innych zasobów, które nie zostały wcześniej zatwierdzone w ramach TCC, spowoduje wyświetlenie monitu o zgodę w imieniu podatnej aplikacji, co może posłużyć do ukrycia złośliwego działania atakującego.

Problem został naprawiony w wersji 1.4.3 programu Inkscape.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi oraz Hubertowi Decyuszowi z zespołu AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.