Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu GIMP GIMP i koordynował proces ujawniania informacji.
Podatność CVE-2025-8672: Wersja GIMP dla macOS zawiera interpreter Pythona, który dziedziczy uprawnienia TCC (Transparency, Consent, and Control) nadane przez użytkownika głównej aplikacji. Atakujący z dostępem do lokalnego konta użytkownika może uruchomić ten interpreter z dowolnymi poleceniami lub skryptami, wykorzystując wcześniej nadane uprawnienia TCC do uzyskania dostępu do plików użytkownika znajdujących się w folderach chronionych prywatnością — bez wywoływania dodatkowych monitów systemowych. Dostęp do innych zasobów, które nie zostały wcześniej zatwierdzone w ramach TCC, spowoduje wyświetlenie monitu o zgodę w imieniu aplikacji GIMP, co może posłużyć do ukrycia złośliwego działania atakującego.
Problem został naprawiony w wersji 3.1.4.2 programu GIMP.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z zespołu Afine.
