Vulnerabilidad en Phoenix Code (CVE-2025-5255)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/06/2025
Última modificación:
23/06/2025
Descripción
La configuración de Phoenix Code en macOS, en concreto la presencia de los permisos "com.apple.security.cs.allow-dyld-environment-variables" y "com.apple.security.cs.disable-library-validation", permite la inyección de librerías dinámicas (Dylib). Un atacante local con acceso sin privilegios puede usar variables de entorno como DYLD_INSERT_LIBRARIES para inyectar código correctamente en el contexto de la aplicación y eludir la Transparencia, Consentimiento y Control (TCC). El acceso a recursos adquiridos se limita a los permisos previamente otorgados por el usuario. El acceso a otros recursos, además de los permisos otorgados, requiere la interacción del usuario con un mensaje del sistema solicitando permiso. Este problema se solucionó en el commit 0c75fb57f89d0b7d9b180026bc2624b7dcf807da.
Impacto
Puntuación base 4.0
4.80
Gravedad 4.0
MEDIA