Podatność w oprogramowaniu Flexibits Fantastical

cert.pl 22 godzin temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Flexibits Fantastical i koordynował proces ujawniania informacji.

Podatność CVE-2025-8533: Usługa XPC w Flexibits Fantastical nie wdrożyła odpowiednich mechanizmów autoryzacji klienta w metodzie listener:shouldAcceptNewConnection, bezwarunkowo akceptując żądania od dowolnego lokalnego procesu. W rezultacie każdy lokalny, nieuprzywilejowany proces mógł połączyć się z usługą XPC i uzyskać dostęp do jej metod.

Podatność została usunięta w wersji 4.0.16.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi i Sławomirowi Zakrzewskiemu z Afine Team.

Idź do oryginalnego materiału