Resumen de Vulnerabilidades de Seguridad en Software
Vulnerabilidades Reportadas
CVE-2025-5255: Código Phoenix
- Fecha de Publicación: 20 de junio de 2025
- Proveedor: Core.Ai
- Producto: Código Phoenix
- Versiones Vulnerables: Desde 4.0.3
- Tipo de Vulnerabilidad (CWE): Permisos incorrectos de valor predeterminado (CWE-276)
- Fuente de Informes: Cert Polska
Descripción de la Vulnerabilidad:
La vulnerabilidad en el software Código Phoenix para MacOS permite que un atacante local, con acceso no privilegiado, inyecte bibliotecas dinámicas utilizando variables de entorno, específicamente DYLD_INSERT_LIBRARIES. Esta configuración relacionada a derechos de seguridad (com.apple.security.cs.allow-dyld-environment-variables y com.apple.security.cs.disable-library-validation) hace posible evadir controles de transparencia, consentimiento y control (TCC) del sistema. El acceso a recursos está restringido a los permisos otorgados previamente por el usuario; sin embargo, el acceso a recursos adicionales requiere la aprobación del usuario mediante un indicador del sistema.
La vulnerabilidad fue corregida en la confirmación: 0c75fb57f89d0b7d9b180026bc2624b7dcf807da.
CVE-2025-5963: Buzón
- Fecha de Publicación: 20 de junio de 2025
- Proveedor: Buzón
- Producto: Buzón
- Versiones Vulnerables: 7.0.65
- Tipo de Vulnerabilidad (CWE): Permisos incorrectos de valor predeterminado (CWE-276)
- Fuente de Informes: Cert Polska
Descripción de la Vulnerabilidad:
Similar a la vulnerabilidad anterior, la configuración de Buzón en MacOS permite la inyección de bibliotecas dinámicas a través de las mismas configuraciones de derechos de seguridad. De nuevo, un atacante local puede utilizar DYLD_INSERT_LIBRARIES para inyectar código malicioso en el contexto de la aplicación, evadiendo los controles TCC. Aunque el acceso a recursos está limitado por permisos otorgados por el usuario, la interacción del usuario es necesaria para acceder a recursos adicionales.
Contexto y Consecuencias
-
Impacto de las Vulnerabilidades:
Ambas vulnerabilidades hacen posible que un atacante local inyecte código en el contexto de las aplicaciones afectadas, facilitando potencialmente la ejecución de código malicioso y el acceso no autorizado a información sensible. -
Desactualización de Software:
Es importante notar que el software Buzón ya no recibe actualizaciones porque la empresa original que lo desarrollaba ha dejado de operar. Además, la empresa actual (Cliente EM) no ha colaborado en la divulgación de estas vulnerabilidades. Esto podría agravar la situación de seguridad para los usuarios que aún utilizan el software. - Agradecimientos a Cert Polska:
La divulgación de estas vulnerabilidades se llevó a cabo gracias a un informe de vulnerabilidad responsable propuesto por el equipo de Karol Mazurek – Afine. Cert Polska juega un rol crucial en la coordinación de la comunicación sobre vulnerabilidades de software, promoviendo prácticas de seguridad adecuadas.
Recomendaciones
-
Actualización de Software: Se recomienda a los usuarios de las versiones afectadas de Código Phoenix y Buzón que consideren alternativas o busquen actualizaciones de seguridad para mitigar el riesgo asociado con estas vulnerabilidades.
- Conciencia de Seguridad: Los usuarios deben ser conscientes de las configuraciones de permisos en sus sistemas para evitar configuraciones que permitan la inyección de código y otros ataques de seguridad.
Para más detalles sobre el proceso de divulgación, se puede consultar CERT Polska.