Sparkle签名检查绕过漏洞分析

Sparkle签名检查绕过漏洞分析

漏洞概述

CVE-2025-0509是一个在Sparkle更新框架中发现的高危安全漏洞。该漏洞影响2.6.3及之前的所有版本，已在2.6.4版本中得到修复。

技术细节

受影响组件

• 软件包: swift
• 项目地址: github.com/sparkle-project/Sparkle (Swift)
• 受影响版本: ≤ 2.6.3
• 修复版本: 2.6.4

漏洞描述

攻击者能够替换现有的已签名更新包为其他有效载荷，从而成功绕过Sparkle的(Ed)DSA签名检查机制。

安全评估

严重程度

• 严重等级: 高危
• CVSS总体评分: 7.4/10

CVSS v3基础指标

• 攻击向量: 相邻网络
• 攻击复杂度: 高
• 所需权限: 高
• 用户交互: 需要
• 范围: 改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高

参考信息

官方资源

• NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-0509

• NetApp安全公告: https://security.netapp.com/advisory/ntap-20250124-0008

• Sparkle安全文档: https://sparkle-project.org/documentation/security-and-reliability

标识信息

• CVE ID: CVE-2025-0509
• GHSA ID: GHSA-wc9m-r3v6-9p5h

弱点分类

• CWE标识: CWE-552
• 弱点描述: 文件或目录可被外部方访问
• 详细说明: 产品使文件或目录可被未经授权的参与者访问，即使这些资源本应不可访问。
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码