Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Phoenix Code (CVE-2025-5255)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/06/2025
Última modificación:
23/06/2025

Descripción

La configuración de Phoenix Code en macOS, en concreto la presencia de los permisos "com.apple.security.cs.allow-dyld-environment-variables" y "com.apple.security.cs.disable-library-validation", permite la inyección de librerías dinámicas (Dylib). Un atacante local con acceso sin privilegios puede usar variables de entorno como DYLD_INSERT_LIBRARIES para inyectar código correctamente en el contexto de la aplicación y eludir la Transparencia, Consentimiento y Control (TCC). El acceso a recursos adquiridos se limita a los permisos previamente otorgados por el usuario. El acceso a otros recursos, además de los permisos otorgados, requiere la interacción del usuario con un mensaje del sistema solicitando permiso. Este problema se solucionó en el commit 0c75fb57f89d0b7d9b180026bc2624b7dcf807da.