关键漏洞信息 Poedit (CVE-2025-4280) CVE ID: CVE-2025-4280 发布日期: 2025年5月22日 厂商: Poedit 产品: Poedit 易受攻击版本: 从2.0到3.6.3 漏洞类型 (CWE): 默认权限不正确 (CWE-276) 报告来源: 向CERT Polska报告 描述: Poedit的macOS版本捆绑了一个Python解释器,该解释器继承了用户授予主应用程序包的透明度、同意和控制(TCC)权限。具有本地用户访问权限的攻击者可以调用此解释器执行任意命令或脚本,利用应用程序先前授予的TCC权限访问用户文件夹中的隐私保护文件,而无需触发用户提示。访问超出先前授予的TCC权限的其他资源将提示用户在Poedit的名义下批准,可能掩盖攻击者的恶意意图。 修复版本: 3.6.3 Viscosity (CVE-2025-4412) CVE ID: CVE-2025-4412 发布日期: 2025年5月26日 厂商: SparkLabs 产品: Viscosity 易受攻击版本: 所有至1.11.4 漏洞类型 (CWE): 默认权限不正确 (CWE-276) 报告来源: 向CERT Polska报告 描述: 在macOS系统上,通过利用启动代理并从应用程序包中加载Viscosity的openvpn进程,可以使用Viscosity的TCC(透明度、同意和控制)身份加载动态库。获得的资源访问权限仅限于没有授权的资源,如访问相机或麦克风。只有用户授予的文件资源权限才适用。访问超出授予权限的其他资源需要用户与系统提示进行交互以请求权限。 修复版本: 1.11.5 致谢 感谢Aline Team的Karol Mazurek负责的漏洞报告。