Sparkle签名检查绕过漏洞分析
漏洞概述
CVE-2025-0509是一个在Sparkle更新框架中发现的高危安全漏洞。该漏洞影响2.6.3及之前的所有版本,已在2.6.4版本中得到修复。
技术细节
受影响组件
- 软件包: swift
- 项目地址: github.com/sparkle-project/Sparkle (Swift)
- 受影响版本: ≤ 2.6.3
- 修复版本: 2.6.4
漏洞描述
攻击者能够替换现有的已签名更新包为其他有效载荷,从而成功绕过Sparkle的(Ed)DSA签名检查机制。
安全评估
严重程度
- 严重等级: 高危
- CVSS总体评分: 7.4/10
CVSS v3基础指标
- 攻击向量: 相邻网络
- 攻击复杂度: 高
- 所需权限: 高
- 用户交互: 需要
- 范围: 改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
参考信息
官方资源
-
NVD漏洞详情: nvd.nist.gov/vuln/detail…
-
NetApp安全公告: security.netapp.com/advisory/nt…
-
Sparkle安全文档: sparkle-project.org/documentati…
标识信息
- CVE ID: CVE-2025-0509
- GHSA ID: GHSA-wc9m-r3v6-9p5h
弱点分类
- CWE标识: CWE-552
- 弱点描述: 文件或目录可被外部方访问
- 详细说明: 产品使文件或目录可被未经授权的参与者访问,即使这些资源本应不可访问。