Plateforme
python
Composant
securedrop-client
Corrigé dans
0.14.2
La vulnérabilité CVE-2025-24888 est une faille de traversal de chemin (Path Traversal) affectant SecureDrop Client, une application de bureau utilisée par les journalistes pour communiquer avec leurs sources. Cette faille permet à un serveur SecureDrop malveillant d'obtenir une exécution de code sur la machine virtuelle sd-app du SecureDrop Client. Les versions concernées sont celles antérieures à la version 0.14.1. Une mise à jour vers la version 0.14.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers sensibles sur la machine virtuelle SecureDrop Client. L'attaquant pourrait potentiellement exécuter du code arbitraire, compromettant ainsi la confidentialité et l'intégrité des données soumises par les sources. Le risque est particulièrement élevé car SecureDrop est conçu pour protéger les communications sensibles et les documents confidentiels. Bien que le serveur SecureDrop lui-même soit fortement sécurisé, cette vulnérabilité dans le client introduit une voie d'attaque potentielle.
La vulnérabilité CVE-2025-24888 a été divulguée publiquement le 13 février 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'est connu à l'heure actuelle, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des acteurs malveillants disposant des compétences nécessaires.
News organizations and journalists who rely on SecureDrop for secure communication with sources are at significant risk. Specifically, those using older versions of the SecureDrop Client (≤ 0.14.1) and those with configurations where the SecureDrop Server is not adequately secured are particularly vulnerable.
• linux / server: Monitor SecureDrop Server logs for unusual file access attempts or connections to the SecureDrop Client. Use journalctl -f to monitor for suspicious activity.
journalctl -f | grep "sd-app" • python: Examine SecureDrop Client application logs for any errors related to file path manipulation or access. • generic web: If the SecureDrop Server exposes any web interfaces, check for unusual file requests or directory traversal attempts in access logs.
disclosure
Statut de l'Exploit
EPSS
3.07% (percentile 87%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour SecureDrop Client vers la version 0.14.1 ou supérieure. En attendant la mise à jour, il n'existe pas de contournement direct efficace pour empêcher l'exploitation de cette vulnérabilité. Il est crucial de surveiller attentivement les journaux du serveur SecureDrop pour détecter toute activité suspecte. Une segmentation réseau stricte entre le serveur et le client peut également limiter l'impact d'une exploitation réussie. Après la mise à jour, vérifiez l'intégrité des fichiers du client et assurez-vous que la version corrigée est bien installée.
Actualice SecureDrop Client a la versión 0.14.1 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de SecureDrop.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-24888 is a Path Traversal vulnerability affecting SecureDrop Client versions prior to 0.14.1. It allows a malicious SecureDrop Server to potentially execute code on the client's virtual machine.
You are affected if you are using SecureDrop Client version 0.14.1 or earlier. Upgrade to 0.14.1 or later to mitigate the risk.
Upgrade the SecureDrop Client to version 0.14.1 or later. If immediate upgrade is not possible, isolate the client from potentially malicious servers.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the official SecureDrop security advisories on their website: https://securedrop.email/security/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.