PT-2025-3930 · Sparkle+1 · Sparkle+1
Zorgiepoo
·
Publicado
2024-04-30
·
Atualizado
2026-05-08
·
CVE-2025-0509
CVSS v3.1
7.3
Alta
| Vetor | AV:A/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Sparkle anteriores à 2.6.4
Descrição
Uma vulnerabilidade de segurança foi identificada no Sparkle, na qual um atacante pode substituir uma atualização assinada existente por outro payload, contornando as verificações de assinatura (Ed)DSA do Sparkle. Isso permite que o atacante potencialmente instale software malicioso.
Recomendações
Para versões anteriores à 2.6.4, atualize para a versão 2.6.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do mecanismo de atualização do Sparkle até que um patch seja aplicado.
Correção
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Java Platform
Sparkle