Plateforme
python
Composant
subiquity
Corrigé dans
24.04.5
24.04.5
24.04.5
CVE-2025-14551 concerne une vulnérabilité de divulgation d'informations affectant Subiquity, l'outil d'installation d'Ubuntu. Cette faille permet la fuite d'identifiants utilisateur sensibles, tels que les mots de passe Wi-Fi en clair, lors du signalement de plantages à Launchpad. La vulnérabilité touche les versions de Subiquity comprises entre 0.0.0 et 25.10 incluses. Une correction est disponible dans la version 24.04.5.
CVE-2025-14551 affecte Ubuntu, plus précisément Subiquity version 24.04.4. La vulnérabilité réside dans le processus de signalement d'erreurs pendant l'installation. En cas d'échec de l'installation, si un utilisateur soumet un rapport de bug à Launchpad, Subiquity pourrait involontairement inclure des informations d'identification sensibles de l'utilisateur, telles que des mots de passe Wi-Fi en texte clair, dans les fichiers joints au rapport. Cela représente un risque important d'exposition des informations d'identification, en particulier si le rapport de bug est accessible à des tiers. La gravité de cette vulnérabilité est évaluée en fonction du potentiel de dommage qui pourrait résulter de la divulgation de ces informations, notamment un accès non autorisé aux réseaux Wi-Fi et, potentiellement, à d'autres systèmes connectés.
L'exploitation de CVE-2025-14551 nécessite un échec de l'installation d'Ubuntu et le choix de l'utilisateur de soumettre un rapport de bug à Launchpad. Un attaquant pourrait tenter d'induire un échec de l'installation, soit en manipulant le processus d'installation, soit en exploitant une vulnérabilité préexistante. Une fois que l'utilisateur soumet le rapport, l'attaquant peut accéder aux pièces jointes et extraire les informations d'identification sensibles. La probabilité d'exploitation dépend de la fréquence des échecs d'installation et de la volonté de l'utilisateur de soumettre des rapports de bugs. La complexité de l'exploitation est relativement faible, car elle ne nécessite pas de compétences techniques avancées.
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
La solution à CVE-2025-14551 est de mettre à jour vers Ubuntu 24.04.5 ou une version ultérieure. Canonical a publié une mise à jour qui corrige cette vulnérabilité, empêchant les informations d'identification de l'utilisateur d'être incluses dans les rapports de bugs. Il est fortement recommandé à tous les utilisateurs d'Ubuntu 24.04.4 d'appliquer cette mise à jour dès que possible. De plus, il est prudent de revoir tout rapport de bug précédemment soumis à Launchpad à partir d'une installation vulnérable pour vérifier si des informations sensibles ont été incluses. Si des informations sensibles sont trouvées, modifiez les mots de passe affectés immédiatement. La mise à jour peut être appliquée via le gestionnaire de paquets d'Ubuntu.
Actualice Subiquity a la versión 24.04.5 o posterior para evitar la divulgación de credenciales sensibles en los informes de errores. Esto se puede hacer a través de los canales de actualización estándar de Ubuntu. Verifique la documentación de Ubuntu para obtener instrucciones específicas sobre cómo actualizar el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Vérifiez le rapport de bug sur Launchpad pour voir s'il contient des informations sensibles. Si c'est le cas, modifiez les mots de passe affectés immédiatement.
Utilisez le gestionnaire de paquets d'Ubuntu. Exécutez sudo apt update && sudo apt upgrade dans le terminal.
Non, cette vulnérabilité est spécifique à Subiquity version 24.04.4.
Launchpad est une plateforme d'hébergement de code et un système de suivi des bogues utilisé par Canonical pour Ubuntu.
Actuellement, il n'existe pas d'outils spécifiques pour vérifier cette vulnérabilité. Le meilleur moyen de vérifier est de vérifier la version de Subiquity installée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.