CRITICAL🇬🇧 English

CVE-2025-54792

LocalSend: podatność MitM w protokole odkrywania urządzeń (≤1.16.1)

CVSS 9.3v4.0pub. 2025-08-01upd. 2025-09-03

W aplikacji LocalSend w wersjach 1.16.1 i wcześniejszych istnieje krytyczna podatność Man-in-the-Middle (MitM) w protokole odkrywania urządzeń w sieci lokalnej. Nieuwierzytelniony atakujący w tej samej sieci może podszywać się pod zaufane urządzenia, przechwytując i modyfikując przesyłane pliki bez wiedzy ofiary.

Pokaż oryginał (EN)

LocalSend is an open-source app to securely share files and messages with nearby devices over local networks without needing an internet connection. In versions 1.16.1 and below, a critical Man-in-the-Middle (MitM) vulnerability in the software's discovery protocol allows an unauthenticated attacker on the same local network to impersonate legitimate devices, silently intercepting, reading, and modifying any file transfer. This can be used to steal sensitive data or inject malware, like ransomware, into files shared between trusted users. The attack is hardly detectable and easy to implement, posing a severe and immediate security risk. This issue was fixed in version 1.17.0.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej weryfikacji tożsamości urządzeń (CWE-345) oraz możliwości przechwycenia komunikacji w kanale odkrywania urządzeń (CWE-300). Atakujący obecny w tej samej sieci lokalnej może ogłosić się jako legalne urządzenie LocalSend, nakłaniając ofiary do nawiązania z nim połączenia zamiast z zamierzonym odbiorcą. Atak jest trudny do wykrycia przez użytkownika i prosty w implementacji.

Skutki

Atakujący może cicho przechwytywać, odczytywać i modyfikować dowolne pliki przesyłane między użytkownikami aplikacji LocalSend, co może prowadzić do kradzieży wrażliwych danych lub wstrzyknięcia złośliwego oprogramowania (np. ransomware) do transferowanych plików.

Mitygacja

Należy zaktualizować aplikację LocalSend do wersji 1.17.0 lub nowszej, w której problem został naprawiony. Patch dostępny jest w oficjalnym repozytorium projektu na GitHub (tag v1.17.0).

Kogo dotyczy

LocalSend w wersjach 1.16.1 i wcześniejszych

Uwagi

Podatność została naprawiona w wersji 1.17.0. Szczegóły techniczne dostępne są w security advisory GHSA-424h-5f6m-x63f oraz w commicie e8635204ec782ded45bc7d698deb60f3c4105687 w repozytorium GitHub projektu LocalSend.

CVSS Vector
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Localsend

    APP
    Localsend
    < 1.17.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-25154MEDIUM6.1ten sam produkt

LocalSend is a free, open-source app that allows users to share files and messages with nearby devices over th...

CVE-2025-27142MEDIUM6.3ten sam produkt

LocalSend is a free, open-source app that allows users to securely share files and messages with nearby device...