关键漏洞信息 漏洞概述 漏洞编号: TDSA-2025-001 相关CVE: CVE-2025-67229 发布日期: January 22, 2026 漏洞类型: Improper Certificate Validation Allows Response Spoofing (CWE-295) 影响的产品及版本 产品: ToDesktop Builder 受影响版本: ToDesktop Builder before 0.32.1 修复版本: 0.32.1 修复状态 大多数用户无需采取行动: 如果启用了自动安全更新(默认情况下已启用),应用已自动更新。最终用户在使用应用时会自动收到修复。无需采取行动。 漏洞描述 概要: 在0.32.1之前的ToDesktop Builder构建的应用中发现了一个证书验证不当的漏洞。此漏洞允许未认证的中间人攻击者通过利用不充分的证书验证来伪造后端响应。 严重性: Critical (CVSS 4.0: 9.2) 攻击向量: 网络基于,需要攻击者在网络路径上(例如,受控网络、恶意代理) 潜在影响: 特权网络位置的攻击者可能拦截和修改应用与后端服务之间的通信,可能导致未经授权的数据披露、完整性违规或恶意内容注入。 技术详情 问题: 受影响版本的ToDesktop Builder构建的应用在与ToDesktop控制的后端服务通信时,未正确验证TLS/SSL证书。这种不当的证书验证允许中间人攻击者提交欺诈性证书并拦截或修改流量。 时间线 9月14日,2025年 7:37pm: 漏洞由Hunter Wodzenski报告。 9月14日,2025年 9:10pm: ToDesktop Builder的修复版本发布。 参考资料 CVE-2025-67229 CWE-295: Improper Certificate Validation