CVE-2025-4280 in Poeditthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Phiên bản MacOS của Poedit tích hợp một trình thông dịch Python kế thừa các quyền Transparency, Consent, and Control (TCC) do người dùng cấp cho gói ứng dụng chính. Kẻ tấn công có quyền truy cập cục bộ của người dùng có thể gọi trình thông dịch này để thực thi các lệnh hoặc tập lệnh tùy ý, tận dụng các quyền TCC đã được cấp trước đó của ứng dụng để truy cập vào tệp tin của người dùng trong các thư mục được bảo vệ riêng tư mà không kích hoạt yêu cầu xác nhận từ người dùng. Việc truy cập vào các tài nguyên khác vượt quá phạm vi các quyền TCC đã được cấp sẽ nhắc người dùng phê duyệt thay mặt cho Poedit, có khả năng che giấu ý định độc hại của kẻ tấn công.

Vấn đề này đã được khắc phục trong phiên bản 3.6.3 của Poedit.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

CERT-PL

Đặt trước

05/05/2025

Tiết lộ

22/05/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00148

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!