https://blog.qife122.com/tags/sparkle/ Recent content in Sparkle on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 00:17:18 +0800 https://blog.qife122.com/p/sparkle%E7%AD%BE%E5%90%8D%E6%A3%80%E6%9F%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9Ecve-2025-0509%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Tue, 30 Dec 2025 00:17:18 +0800 https://blog.qife122.com/p/sparkle%E7%AD%BE%E5%90%8D%E6%A3%80%E6%9F%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9Ecve-2025-0509%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h2 id="漏洞详情">漏洞详情</h2> <p><strong>标识符</strong>: CVE-2025-0509 <strong>严重等级</strong>: 高危 (CVSS 分数: 7.4) <strong>GitHub 咨询数据库 ID</strong>: GHSA-wc9m-r3v6-9p5h</p> <h3 id="受影响的产品">受影响的产品</h3> <ul> <li><strong>软件包</strong>: <code>swift</code> / <code>github.com/sparkle-project/Sparkle</code></li> <li><strong>受影响版本</strong>: &lt;= 2.6.3</li> <li><strong>已修复版本</strong>: 2.6.4</li> </ul> <h3 id="漏洞描述">漏洞描述</h3> <p>在 Sparkle 2.6.4 之前的版本中发现一个安全漏洞。攻击者可以利用此漏洞，使用另一个有效载荷替换现有的已签名更新，从而绕过 Sparkle 的 (Ed)DSA 签名检查机制。</p>