ID de CVE
CVE-2025-8672
Fecha de publicación
11 de agosto de 2025
Proveedor
CAÑUTILLO
Producto
CAÑUTILLO
Versiones vulnerables
Todo antes de la 3.1.4.2
Tipo de vulnerabilidad (CWE)
Permisos incorrectos de valor predeterminado (CWE-276)
Fuente de informes
Informe a Cert Polska
Descripción
CERT Polska ha recibido un informe sobre la vulnerabilidad en el software GIMP y participó en la coordinación de su divulgación.
La vulnerabilidad CVE-2025-8672: Versión MACOS de GIMP Bundles Un intérprete de Python que hereda los permisos de transparencia, consentimiento y control (TCC) otorgados por el usuario al paquete de aplicaciones principales. Un atacante con acceso local al usuario puede invocar a este intérprete con comandos o scripts arbitrarios, aprovechando los permisos de TCC previamente otorgados de la aplicación para acceder a los archivos del usuario en carpetas protegidas por privacidad sin activar las indicaciones del usuario. Acceder a otros recursos más allá de los permisos de TCC otorgados previamente solicitará al usuario la aprobación en nombre de GIMP, lo que puede disfrazar la intención maliciosa del atacante.
Este problema se ha solucionado en 3.1.4.2 Versión de GIMP.
Créditos
Agradecemos al equipo de Karol Mazurek – Afine por el informe de vulnerabilidad responsable.
Se puede encontrar más sobre el proceso de divulgación de vulnerabilidad coordinado en CERT Polska en https://cert.pl/en/cvd/.