CVE-2025-0509：Sparkle签名检查绕过漏洞

攻击向量: 相邻网络
攻击复杂度: 高
所需权限: 高
用户交互: 需要
作用范围: 已改变
机密性影响: 高
完整性影响: 高
可用性影响: 高

漏洞详情

包名称: swift
项目地址: github.com/sparkle-project/Sparkle (Swift)

受影响版本: <= 2.6.3
已修复版本: 2.6.4

在Sparkle 2.6.4之前的版本中发现一个安全漏洞。攻击者可以用另一个有效载荷替换现有的已签名更新，从而绕过Sparkle的(Ed)DSA签名检查。

严重程度: 高危
CVSS总体评分: 7.4/10

CVSS向量: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

弱点类型: CWE-552
描述: 外部各方可访问的文件或目录 - 产品使文件或目录可被未经授权的参与者访问，即使这些文件或目录本不应被访问。