Plataforma
python
Componente
securedrop-client
Corrigido em
0.14.2
A vulnerabilidade CVE-2025-24888 é um problema de Path Traversal descoberto no SecureDrop Client, uma aplicação desktop utilizada por jornalistas para comunicação segura com fontes. Essa falha permite que um servidor SecureDrop malicioso obtenha execução de código na máquina virtual (sd-app) do SecureDrop Client. A vulnerabilidade afeta versões do SecureDrop Client anteriores a 0.14.1 e foi corrigida com a versão 0.14.1.
Um atacante que explore com sucesso essa vulnerabilidade pode obter execução remota de código na máquina virtual do SecureDrop Client. Isso significa que o atacante pode potencialmente instalar malware, roubar dados confidenciais ou comprometer a integridade do sistema. O SecureDrop Client é usado para receber informações sensíveis de fontes, tornando a exploração desta vulnerabilidade particularmente perigosa, pois pode levar à divulgação de informações confidenciais e comprometer a segurança do jornalista e da fonte. A severidade da vulnerabilidade é agravada pelo fato de que o SecureDrop Server, embora possua hardening, é exposto via Tor, o que pode facilitar o acesso não autorizado.
A vulnerabilidade foi divulgada em 2025-02-13. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não existem Proof of Concepts (PoCs) públicos conhecidos, mas a natureza da vulnerabilidade de Path Traversal sugere que um PoC pode ser desenvolvido relativamente facilmente.
News organizations and journalists who rely on SecureDrop for secure communication with sources are at significant risk. Specifically, those using older versions of the SecureDrop Client (≤ 0.14.1) and those with configurations where the SecureDrop Server is not adequately secured are particularly vulnerable.
• linux / server: Monitor SecureDrop Server logs for unusual file access attempts or connections to the SecureDrop Client. Use journalctl -f to monitor for suspicious activity.
journalctl -f | grep "sd-app" • python: Examine SecureDrop Client application logs for any errors related to file path manipulation or access. • generic web: If the SecureDrop Server exposes any web interfaces, check for unusual file requests or directory traversal attempts in access logs.
disclosure
Status do Exploit
EPSS
3.07% (percentil 87%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-24888 é atualizar o SecureDrop Client para a versão 0.14.1 ou superior. Se a atualização imediata não for possível, considere isolar o SecureDrop Client em uma rede segmentada para limitar o impacto potencial de uma exploração. Monitore o tráfego de rede entre o SecureDrop Server e o SecureDrop Client em busca de atividades suspeitas. Embora não haja regras WAF específicas para essa vulnerabilidade, a implementação de um WAF pode ajudar a detectar e bloquear tentativas de exploração de Path Traversal.
Actualice SecureDrop Client a la versión 0.14.1 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de SecureDrop.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24888 is a Path Traversal vulnerability affecting SecureDrop Client versions prior to 0.14.1. It allows a malicious SecureDrop Server to potentially execute code on the client's virtual machine.
You are affected if you are using SecureDrop Client version 0.14.1 or earlier. Upgrade to 0.14.1 or later to mitigate the risk.
Upgrade the SecureDrop Client to version 0.14.1 or later. If immediate upgrade is not possible, isolate the client from potentially malicious servers.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the official SecureDrop security advisories on their website: https://securedrop.email/security/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.