VDB-325665 · CVE-2025-54081 · GHSA-6p7j-5v8v-w45h

LizardByte Sunshine bis 2025.628.4510 SunshineService erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
6.8	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine problematische Schwachstelle in LizardByte Sunshine entdeckt. Es geht um eine nicht näher bekannte Funktion der Komponente SunshineService. Die Veränderung resultiert in erweiterte Rechte. Diese Schwachstelle wird als CVE-2025-54081 gehandelt. Der Angriff muss lokal erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Es wurde eine Schwachstelle in LizardByte Sunshine entdeckt. Sie wurde als kritisch eingestuft. Es betrifft unbekannter Code der Komponente SunshineService. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-428 vorgenommen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Sunshine is a self-hosted game stream host for Moonlight. Prior to version 2025.923.33222, the Windows service SunshineService is installed with an unquoted executable path. If Sunshine is installed in a directory whose name includes a space, the Service Control Manager (SCM) interprets the path incrementally and may execute a malicious binary placed earlier in the search string. This issue has been patched in version 2025.923.33222.

Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird seit dem 16.07.2025 mit CVE-2025-54081 vorgenommen. Sie ist schwierig auszunutzen. Der Angriff muss lokal erfolgen. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1574.009 aus.

Ein Aktualisieren auf die Version 2025.923.33222 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches f22b00d6981f756d3531fba0028723d4a5065824 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Produktinfo

Hersteller

LizardByte

Name

Sunshine

Version

Lizenz

Open-Source

Webseite

Produkt: https://github.com/LizardByte/Sunshine/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.9
VulDB Meta Temp Score: 6.8

VulDB Base Score: 7.0
VulDB Temp Score: 6.7
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.0
NVD Vector: 🔒

CNA Base Score: 6.7
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-428 / CWE-426
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Teilweise
Lokal: Ja
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Sunshine 2025.923.33222
Patch: f22b00d6981f756d3531fba0028723d4a5065824

Timelineinfo

16.07.2025 CVE zugewiesen
24.09.2025 +70 Tage Advisory veröffentlicht
24.09.2025 +0 Tage VulDB Eintrag erstellt
09.10.2025 +15 Tage VulDB Eintrag letzte Aktualisierung