Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Fast CAD Reader (Beijing Honghu Yuntu Technology) i koordynował proces ujawniania informacji.
Wykryto, iż aplikacja Fast CAD Reader na macOS jest instalowana z nieprawidłowymi uprawnieniami plików (rwxrwxrwx). Jest to niezgodne ze standardowymi praktykami bezpieczeństwa macOS, gdzie aplikacje powinny mieć uprawnienia drwxr-xr-x. Podatność CVE-2025-2098 umożliwia przeprowadzenie ataku poprzez Dylib Hijacking. Konto gościa, inni użytkownicy oraz aplikacje mogą wykorzystać tę lukę do eskalacji uprawnień.
Prawdopodobnie wszystkie wersje aplikacji są podatne, ponieważ producent przestał odpowiadać na nasze wiadomości. Ostatnia wersja, która była testowana i również okazała się podatna, to 4.1.5.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi (AFINE Team).
