Sparkle签名检查绕过漏洞分析
Sparkle签名检查绕过漏洞分析
漏洞概述
CVE-2025-0509是一个在Sparkle更新框架中发现的高危安全漏洞。该漏洞影响2.6.3及之前的所有版本,已在2.6.4版本中得到修复。
技术细节
受影响组件
- 软件包: swift
- 项目地址: github.com/sparkle-project/Sparkle (Swift)
- 受影响版本: ≤ 2.6.3
- 修复版本: 2.6.4
漏洞描述
攻击者能够替换现有的已签名更新包为其他有效载荷,从而成功绕过Sparkle的(Ed)DSA签名检查机制。
安全评估
严重程度
- 严重等级: 高危
- CVSS总体评分: 7.4/10
CVSS v3基础指标
- 攻击向量: 相邻网络
- 攻击复杂度: 高
- 所需权限: 高
- 用户交互: 需要
- 范围: 改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
参考信息
官方资源
-
NetApp安全公告: https://security.netapp.com/advisory/ntap-20250124-0008
-
Sparkle安全文档: https://sparkle-project.org/documentation/security-and-reliability
标识信息
- CVE ID: CVE-2025-0509
- GHSA ID: GHSA-wc9m-r3v6-9p5h
弱点分类
- CWE标识: CWE-552
- 弱点描述: 文件或目录可被外部方访问
- 详细说明: 产品使文件或目录可被未经授权的参与者访问,即使这些资源本应不可访问。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号