Plataforma
python
Componente
subiquity
Corrigido em
24.04.5
24.04.5
24.04.5
O CVE-2025-14551 é uma vulnerabilidade de divulgação de informações encontrada no Subiquity, o instalador gráfico do Ubuntu. Durante falhas na instalação e envio de relatórios de bug para o Launchpad, o Subiquity pode inadvertidamente incluir credenciais sensíveis do usuário, como senhas de Wi-Fi em texto simples, nos logs anexados. Essa vulnerabilidade afeta as versões do Subiquity entre 0.0.0 e 24.10, mas foi corrigida na versão 24.04.5.
CVE-2025-14551 afeta o Ubuntu, especificamente a Subiquity versão 24.04.4. A vulnerabilidade reside no processo de relatório de erros durante a instalação. Em caso de falha na instalação, se um usuário decidir enviar um relatório de erros para o Launchpad, a Subiquity pode inadvertidamente incluir informações confidenciais do usuário, como senhas de Wi-Fi em texto simples, nos arquivos anexados ao relatório. Isso representa um risco significativo de exposição de credenciais, especialmente se o relatório de erros for acessível a terceiros. A gravidade desta vulnerabilidade é avaliada com base no potencial dano que a divulgação dessas informações pode causar, incluindo acesso não autorizado a redes Wi-Fi e, potencialmente, a outros sistemas conectados.
A exploração de CVE-2025-14551 requer que a instalação do Ubuntu falhe e que o usuário escolha enviar um relatório de erros para o Launchpad. Um atacante pode tentar induzir uma falha na instalação, seja manipulando o processo de instalação ou explorando uma vulnerabilidade preexistente. Uma vez que o usuário envia o relatório, o atacante pode acessar os anexos e extrair as credenciais confidenciais. A probabilidade de exploração depende da frequência com que ocorrem falhas de instalação e da disposição do usuário em enviar relatórios de erros. A complexidade da exploração é relativamente baixa, pois não requer habilidades técnicas avançadas.
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
A solução para CVE-2025-14551 é atualizar para o Ubuntu 24.04.5 ou posterior. O Canonical lançou uma atualização que corrige esta vulnerabilidade, eliminando a possibilidade de que as credenciais do usuário sejam incluídas em relatórios de erros. Recomenda-se fortemente que todos os usuários do Ubuntu 24.04.4 apliquem esta atualização o mais rápido possível. Além disso, é prudente revisar quaisquer relatórios de erros enviados anteriormente para o Launchpad a partir de uma instalação vulnerável para verificar se alguma informação confidencial foi incluída. Se alguma informação confidencial for encontrada, altere as senhas afetadas imediatamente. A atualização pode ser aplicada através do gerenciador de pacotes do Ubuntu.
Actualice Subiquity a la versión 24.04.5 o posterior para evitar la divulgación de credenciales sensibles en los informes de errores. Esto se puede hacer a través de los canales de actualización estándar de Ubuntu. Verifique la documentación de Ubuntu para obtener instrucciones específicas sobre cómo actualizar el sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Review the bug report on Launchpad to see if it contains sensitive information. If so, change the affected passwords immediately.
Use Ubuntu's package manager. Run sudo apt update && sudo apt upgrade in the terminal.
No, this vulnerability is specific to Subiquity version 24.04.4.
Launchpad is a code hosting platform and bug tracking system used by Canonical for Ubuntu.
Currently, there are no specific tools to scan for this vulnerability. The best way to verify is to check the installed Subiquity version.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.