PT-2025-38273 · Dragonfly · Dragonfly

Gaius-Qi

·

Publicado

2025-09-17

·

Atualizado

2025-10-27

·

CVE-2025-59354

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do Dragonfly anteriores a 2.1.0
Descrição O Dragonfly2 utiliza a função de hash MD5 para arquivos baixados, a qual não oferece resistência a colisões. Isso permite que atacantes substituam arquivos por versões maliciosas que possuam hashes em colisão. Um atacante, como Alice, pode criar uma imagem inocente e uma imagem maliciosa com hashes MD5 em colisão. Bob pode usar inadvertidamente a imagem maliciosa após baixá-la da rede peer-to-peer. A vulnerabilidade deve-se ao uso da função de hash MD5 na variável pieceDigests e à comparação subsequente com t.PieceMd5Sign.
Recomendações Atualize para a versão 2.1.0 ou superior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-328

Identificadores relacionados

CVE-2025-59354
GHSA-HX2H-VJW2-8R54
GO-2025-3973
OPENSUSE-SU-2025:15576-1
SUSE-SU-2025:3799-1

Produtos afetados

Dragonfly