Sparkle Signing Checks Bypass · CVE-2025-0509 · GitHub Advisory Database

漏洞详情

包信息

• 软件包: swift (github.com/sparkle-project/Sparkle)
• 受影响版本: <= 2.6.3
• 已修复版本: 2.6.4

漏洞描述 在Sparkle 2.6.4之前的版本中发现一个安全问题。攻击者能够用另一个有效载荷替换现有的已签名更新，从而绕过Sparkle的(Ed)DSA签名校验机制。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-0509
• sparkle-project/Sparkle#2550
• https://security.netapp.com/advisory/ntap-20250124-0008
• https://sparkle-project.org/documentation/security-and-reliability

发布时间线

• NVD发布时间: 2025年2月4日
• GitHub咨询数据库发布时间: 2025年2月4日
• 评审时间: 2025年2月4日
• 最后更新时间: 2025年2月4日

严重程度

• 等级: 高危
• CVSS总体评分: 7.4/10

CVSS v3基础指标

• 攻击向量: 相邻网络
• 攻击复杂度: 高
• 所需权限: 高
• 用户交互: 需要
• 影响范围: 已改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高

CVSS向量: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

EPSS评分

• 评分: 0.052%
• 百分位: 第16百分位
• 注: 该评分估计此漏洞在未来30天内被利用的概率

弱点分类

• 弱点: CWE-552
• 描述: 产品或服务向未授权方暴露了本不应访问的文件或目录

标识符

• CVE ID: CVE-2025-0509
• GHSA ID: GHSA-wc9m-r3v6-9p5h

源代码

• 仓库: sparkle-project/Sparkle