脆弱性タイトル: macOS版InkscapeアプリケーションにおけるTCCバイパス脆弱性 CVE ID: CVE-2025-15523 公開日: 2026年1月22日 ベンダー: Inkscape 製品: Inkscape 影響を受けるバージョン: 1.4.3より前のすべてのバージョン(macOS限定) 脆弱性の種類: 不正なデフォルト権限(CWE-276) レポート元: CERT Polska 概要 InkscapeのmacOS版アプリケーションには、メインアプリケーションからTCC(Transparency, Consent, and Control)権限を引き継ぐPythonインタープリターが含まれていました。ローカル攻撃者はこのインタープリターを悪用して、TCC権限に関するユーザープロンプトをバイパスし、プライバシー保護フォルダ内のユーザーファイルにアクセスすることができました。これにより、悪意のある行為をInkscapeの動作中に隠蔽する可能性がありました。本脆弱性はInkscapeバージョン1.4.3で修正されています。 クレジット AFINETチームのKarol MazurekおよびHubert Decyuszが、本脆弱性のレポートを提出しました。