Vulnerabilidad en la aplicación de resolución de Davinci

Summary of CVE-2025-1413 Vulnerability in DaVinci Resolve

CVE Identifier: CVE-2025-1413
Publication Date: February 28, 2025
Supplier: Blackmagic Design Inc
Product: DaVinci Resolve
Vulnerable Versions: All versions prior to 19.1.3
Vulnerability Type (CWE): Incorrect Permission Assignment (CWE-266)
Reporting Source: CERT Polska

The vulnerability identified as CVE-2025-1413 pertains to the DaVinci Resolve software produced by Blackmagic Design, specifically affecting its installation on MacOS systems. This report is based on findings submitted to CERT Polska, which handled the coordination of disclosing the vulnerability.

Description of the Vulnerability

The vulnerability arises from improper file permissions assigned to the DaVinci Resolve application installed on MacOS. It was found that the application possessed overly permissive file access rights (RWXRWXRWX), which starkly contrasts with the standard security protocols recommended for MacOS applications. According to MacOS security norms, applications should have file permissions set to (DRWXR-XR-X).

This discrepancy creates a security weakness as it opens the door for potential exploitation. Notably, this weakness allows for the hijacking of dynamic libraries (Dylib files). Users operating with guest accounts or those with limited privileges, as well as other applications, can exploit this vulnerability for an elevation of access rights, potentially leading to unauthorized operations within the system.

Impact of the Vulnerability

The implications of CVE-2025-1413 specifically affect DaVinci Resolve versions before 19.1.3. Given that the vulnerability enables privilege escalation, it poses a significant risk to users who have not updated their software. Attackers could manipulate the permissions to gain unauthorized control, potentially jeopardizing the integrity and security of user data and system functions.

Acknowledgments

The discovery of this critical vulnerability is credited to Karol Mazurek from Afine, who conducted a responsible disclosure of the issue. This highlights the importance of an active collaboration between security researchers and software providers in ensuring the safety of users.

For further details on this vulnerability and the coordinated disclosure process, information is available through CERT Polska’s website (https://cert.pl/en/cvd/).

This summary provides essential insights into the nature of the vulnerability, its potential impact, and the significance of maintaining updated software to safeguard user systems from malicious exploitation. Updating to DaVinci Resolve version 19.1.3 or later is strongly advised for all users to mitigate this risk.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Threat Brief: CVE-2025-31324

Executive Summary On April 24, 2025, SAP announced a severe vulnerability, designated CVE-2025-31324, with a CVSS score of 10.0, impacting the Visual Composer Framework in

...
Más detalle de la noticia

Q1 2025 en el ciberespacio letón

Resumen del Informe sobre Amenazas Cibernéticas en Letonia (Q1 2025) En los tres primeros meses de 2025, el panorama de amenazas cibernéticas evoluciona de manera

...
Más detalle de la noticia

El paquete NPM de la herramienta de raspado popular comprometido en el ataque de la cadena de suministro

Resumen sobre el Paquete Node.js Rand-User-Agent Rand-User-Agent es un paquete de Node.js que genera cadenas aleatorizadas de agentes de usuario, desarrollado inicialmente para la faceta

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos Cisco

Cisco ha identificado varias vulnerabilidades en sus productos que representan serios riesgos de seguridad. Entre estas vulnerabilidades, algunas permiten a un atacante ejecutar código de

...
Más detalle de la noticia

Aviso de seguridad de Google Chrome (AV25-257)

Resumen de Aviso de Seguridad de Google para Chrome (9 de mayo de 2025) El 6 de mayo de 2025, Google emitió un importante aviso

...
Más detalle de la noticia

Código de práctica de seguridad de software: principios y reclamos de garantía (APC)

El contenido se enfoca en la importancia de que los proveedores evalúen su cumplimiento con un código de práctica de seguridad del software. A continuación,

...
Más detalle de la noticia

Carta semanal de CERT-SE V.19-CERT-SE

Resumen Semanal de Ciberseguridad – 9 de mayo de 2025 Introducción de Nueva Funcionalidad en el Servicio de Hormigas A partir de la próxima semana,

...
Más detalle de la noticia

La identificación de nuestros servicios electrónicos está cambiando, habilitando los mensajes suomi.fi sugeridos durante la identificación

La agencia de transporte y comunicaciones de Finlandia, conocida como Traficom, juega un papel crucial en la garantía de un sistema de transporte y comunicaciones

...
Más detalle de la noticia

Vulnerabilidad de negación de servicio de Microsoft Edge

Se ha detectado una vulnerabilidad crítica en Microsoft Edge, que podría ser explotada por un atacante remoto para causar una condición de denegación de servicio

...
Más detalle de la noticia

ALERTA DE SEGURIDAD (A25-05-06): múltiples vulnerabilidades en productos Cisco

Cisco ha emitido avisos de seguridad que abordan varias vulnerabilidades críticas en una variedad de dispositivos y software. Los administradores de sistemas deben consultar los

...
Más detalle de la noticia

ElasticeSearch Kibana Arbitrary Code Execution Vulnerabilidad (CVE-2025-25014)-Qualys amenazas Protect

Kibana ha emitido un aviso de seguridad para abordar una vulnerabilidad crítica identificada como CVE-2025-25014. Esta vulnerabilidad está relacionada con la contaminación de prototipos, lo

...
Más detalle de la noticia

Los países comienzan el ejercicio de defensa cibernética de escudos cerrados de la OTAN

Los países están enfrentando amenazas cibernéticas cada vez más sofisticadas que demandan estrategias en evolución para mitigar esos riesgos. La cooperación internacional es vital en

...
Más detalle de la noticia

Mitsubishi Electric CC-Link, es decir, TSN

Resumen sobre la Vulnerabilidad de Mitsubishi Electric 1. Resumen Ejecutivo La vulnerabilidad identificada en productos de Mitsubishi Electric ha sido catalogada con un puntaje CVSS

...
Más detalle de la noticia

Nueva característica en hormigas: notificación sobre dispositivos comprometidos

Resumen sobre la activación de nuevas notificaciones en hormigas por CERT-SE Fecha de Publicación: 8 de mayo de 2025 Durante la semana 20, CERT-SE (el

...
Más detalle de la noticia

Webinar: procedimientos básicos para emitir certificados

Seminario Web sobre Procedimientos Básicos de Problemas de Certificado Lo invitamos cordialmente al seminario web titulado "Procedimientos básicos de problemas de certificado", que se llevará

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita