关键信息 漏洞详情 CVE-2025-5255 - 发布日期: 20 June 2025 - 厂商: Core.ai - 产品: Phoenix Code - 易受攻击版本: All through 4.0.3 - 漏洞类型 (CWE): Incorrect Default Permissions (CWE-276) - 报告来源: Report to CERT Polska CVE-2025-5963 - 发布日期: 20 June 2025 - 厂商: Postbox - 产品: Postbox - 易受攻击版本: 7.0.65 - 漏洞类型 (CWE): Incorrect Default Permissions (CWE-276) - 报告来源: Report to CERT Polska 描述 CVE-2025-5255: Phoenix Code 在 macOS 上的配置存在特定的权限: 和 ,允许进行动态库(Dylib)注入。本地攻击者可以利用环境变量如 成功在应用程序上下文中注入代码并绕过透明度、同意和控制(TCC)。获取的资源访问权限仅限于用户先前授予的权限。 CVE-2025-5963: Postbox 在 macOS 上的配置存在相同的权限问题,允许动态库注入。Postbox 的原始公司已不再运营,软件将不再接收更新。收购公司(eM Client)未参与漏洞披露。 致谢 感谢 Karol Mazurek - Afine Team 负责的漏洞报告。