Sparkle Signing Checks Bypass · CVE-2025-0509

漏洞详情

漏洞编号: CVE-2025-0509 严重等级: 高危 GitHub 公告状态: 已审核 发布时间: 2025年2月4日 更新时间: 2025年2月4日

包名: swift 项目: github.com/sparkle-project/Sparkle (Swift)

受影响版本: <= 2.6.3 已修复版本: 2.6.4

在Sparkle 2.6.4之前的版本中发现一个安全漏洞。攻击者能够用另一有效载荷替换现有的已签名更新，从而绕过Sparkle的(Ed)DSA签名检查。

CVSS 总体评分: 7.4 (高危)

攻击向量: 邻接网络 攻击复杂度: 高 所需权限: 高 用户交互: 需要 影响范围: 已改变 机密性影响: 高 完整性影响: 高 可用性影响: 高

CVSS向量字符串: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

分数: 0.074% (第23百分位数) 此分数预测该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点: CWE-552 - 外部各方可访问的文件或目录描述: 产品使文件或目录可被未经授权的参与者访问，尽管它们本不应如此。