Vulnerabilidad en la aplicación de lector de CAD rápido

Summary of CVE-2025-2098

CVE Identifier: CVE-2025-2098
Publication Date: March 26, 2025
Vendor: Beijing Honghu Yuntu Technology
Product: Fast CAD Reader
Vulnerable Versions: All versions since 4.1.5
Vulnerability Type (CWE): Improper Privilege Assignment (CWE-266)
Reporting Source: Reported to CERT Polska

Overview of the Vulnerability

CERT Polska has issued a report on a significant vulnerability associated with the Fast CAD Reader application developed by Beijing Honghu Yuntu Technology. This vulnerability, identified as CVE-2025-2098, was discovered during the evaluation of the application running on MacOS. It pertains to improper file permissions assigned during the installation process of the Fast CAD Reader.

Nature of the Vulnerability

The Fast CAD Reader application was found to have file permissions set to RWXRWXRWX, which deviates from the standard security practices for applications on the MacOS operating system. MacOS typically demands that applications have permissions set to DRWXR-XR-X for adequate security and protection against unauthorized access or control.

This misconfiguration allows for the exploitation of the application through Dylib hijacking, where the vulnerabilities can be leveraged by guest accounts, other users, and even malicious applications to escalate their privileges within the system.

Affected Versions

The identification of the vulnerability suggests that it impacts all versions of the Fast CAD Reader, especially since the vendor, Beijing Honghu Yuntu Technology, has not responded to queries regarding the issue. The specific version tested that exhibited this vulnerability was 4.1.5.

Recognition for Responsible Reporting

CERT Polska acknowledges a contribution from Karol Mazurek of Afine for responsibly reporting this vulnerability. This assistance was pivotal in the coordination of the disclosure and potentially preventing exploitation in the wild before a public announcement was made.

Closing Remarks

The existence of CVE-2025-2098 highlights critical issues surrounding the management of application permissions, underscoring the necessity for developers to adhere to established security protocols during application installations. Users of the Fast CAD Reader should remain vigilant and consider applying any available updates, as well as practicing enhanced security measures on their systems, particularly if they are using versions vulnerable to this identified issue. The ongoing coordination of vulnerability disclosures by organisations like CERT Polska plays a crucial role in promoting software security and protecting against potential exploits.

Furthermore, for more details on the coordinated vulnerability disclosure process, interested parties can find additional resources at CERT Polska’s website: https://cert.pl/en/cvd/.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Splunk Security Advisory (AV25-168) – Centro canadiense de seguridad cibernética

El 26 de marzo de 2025, Splunk emitió un aviso de seguridad crítico que aborda una vulnerabilidad detectada en varias versiones de sus productos, específicamente

...
Más detalle de la noticia

Conciencia situacional para las vacaciones Eid-ul-Fitr 2025-BGD E-Gov Cirt

El equipo de respuesta a incidentes informáticos del gobierno de Bangladesh, conocido como BGD E-Gov CIRT, bajo la Comisión de Tecnología de la Información y

...
Más detalle de la noticia

CNCS – Aviso de detalle

El taller sobre la regulación de la inteligencia artificial (IA) de la Unión Europea se llevó a cabo ayer en la plataforma del campus, con

...
Más detalle de la noticia

Vulnerabilidades múltiples de Splunk Products

Se han identificado diversas vulnerabilidades en los productos de Splunk, lo que representa un riesgo significativo para la seguridad de los sistemas afectados. Estas vulnerabilidades

...
Más detalle de la noticia

Alerta de seguridad de alta amenaza (A25-03-24): vulnerabilidad en Microsoft Edge

Microsoft ha lanzado una actualización de seguridad urgente para abordar una vulnerabilidad crítica en el navegador Microsoft Edge. Esta vulnerabilidad, identificada como CVE-2025-2783, permite que

...
Más detalle de la noticia

Vulnerabilidad de derivación de autenticación crítica en CrushFTP

Se ha descubierto una crítica vulnerabilidad de omisión de autenticación en el software CrushFTP, identificada como CVE-2025-2825, que presenta un nivel de severidad de 9.8

...
Más detalle de la noticia

VMware demanda a Siemens por usar software sin licencia • El registro

VMware ha presentado una demanda contra las operaciones estadounidenses de Siemens AG, alegando el uso de software sin licencia. La denuncia, presentada en el Tribunal

...
Más detalle de la noticia

Aviso de seguridad de GitLab (AV25-166) – Centro canadiense de seguridad cibernética

El 26 de marzo de 2025, GitLab emitió un aviso de seguridad crucial para abordar vulnerabilidades detectadas en dos de sus productos principales: GitLab Community

...
Más detalle de la noticia

Vulnerabilidad en la aplicación de lector de CAD rápido

Summary of CVE-2025-2098 CVE Identifier: CVE-2025-2098 Publication Date: March 26, 2025 Vendor: Beijing Honghu Yuntu Technology Product: Fast CAD Reader Vulnerable Versions: All versions since

...
Más detalle de la noticia

Vulnerabilidades múltiples en Moodle (26 de marzo de 2025)

Recientemente, se han identificado varias vulnerabilidades en Moodle, una de las plataformas de gestión de aprendizaje más utilizadas en instituciones educativas y organizaciones. Estas fallas

...
Más detalle de la noticia

Clovido en Oracle Cloud

El 21 de marzo de 2025, se reveló un ciberataque que comprometió la seguridad de datos de más de 140,000 propietarios de dominios, afectando significativamente

...
Más detalle de la noticia

Vulnerabilidad en el software Oxari ServiceSk

CVE-2025-1542 Summary Identifier Information: CVE ID: CVE-2025-1542 Publication Date: March 26, 2025 Vendor: Infone Project Affected Product: Oxari ServiceSk Vulnerable Versions: All versions prior to

...
Más detalle de la noticia

Alerta de seguridad de alta amenaza (A25-03-22): vulnerabilidad en Google Chrome

Google ha emitido una importante actualización de seguridad para corregir una vulnerabilidad en su navegador Google Chrome. Esta vulnerabilidad, identificada como CVE-2025-2783, se trata de

...
Más detalle de la noticia

Google Chrome Security Restriction Bypass Vulnerabilidad

Se ha identificado una vulnerabilidad crítica en Google Chrome, designada como CVE-2025-2783, que presenta un riesgo significativo para los usuarios del navegador. Esta vulnerabilidad permite

...
Más detalle de la noticia

Notificación de contenido de soporte: portal de soporte

The content describes the processes for obtaining technical and non-technical support for a product or service. Technical Support For technical issues related to products or

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita