CRITICAL🇬🇧 English

CVE-2025-65741

Dylib Injection w Sublime Text 3 na macOS (Build 3208 i wcześniejsze)

CVSS 9.8v3.1pub. 2025-12-09upd. 2026-01-02

Sublime Text 3 w wersji Build 3208 i wcześniejszych na systemie macOS jest podatny na atak typu Dylib Injection (CWE-427 — Uncontrolled Search Path Element). Podatność umożliwia atakującemu wymuszenie załadowania i wykonania złośliwej biblioteki .dylib w kontekście procesu Sublime Text.

Pokaż oryginał (EN)

Sublime Text 3 Build 3208 or prior for MacOS is vulnerable to Dylib Injection. An attacker could compile a .dylib file and force the execution of this library in the context of the Sublime Text application.

🤖 Analiza AI
Jak działa

Atak polega na skompilowaniu złośliwej biblioteki dynamicznej (.dylib) i umieszczeniu jej w lokalizacji przeszukiwanej przez aplikację podczas ładowania zależności. Ponieważ Sublime Text 3 nie weryfikuje w sposób wystarczający ścieżki poszukiwania bibliotek, złośliwy plik .dylib zostaje załadowany i wykonany z uprawnieniami procesu aplikacji. Nie jest wymagana interakcja użytkownika poza uruchomieniem podatnej aplikacji.

Skutki

Atakujący może wykonać dowolny kod w kontekście procesu Sublime Text, co może prowadzić do uzyskania dostępu do danych użytkownika, eskalacji uprawnień lub kompromitacji systemu — zgodnie z wektorem CVSS wskazującym pełne naruszenie poufności, integralności i dostępności.

Mitygacja

Należy zaktualizować Sublime Text do wersji wyższej niż Build 3208 lub przejść na Sublime Text 4. Zaleca się stosowanie zasady najmniejszych uprawnień oraz ograniczenie możliwości zapisu do katalogów przeszukiwanych przez aplikację. Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

Sublime Text 3 Build 3208 i wcześniejsze na systemie macOS.

Uwagi

Publicznie dostępny kod proof-of-concept został opublikowany w repozytorium GitHub przez vinicius-batistella (https://github.com/vinicius-batistella/CVE-2025-65741/). Podatność dotyczy wyłącznie platformy macOS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Sublimetext Sublime Text 3

    APP
    Sublimetext
    < 3.2.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2019-9116HIGH7.8ten sam produkt

DLL hijacking is possible in Sublime Text 3 version 3.1.1 build 3176 on 32-bit Windows platforms because a Tro...

CVE-2017-8368HIGH7.8ten sam produkt

Sublime Text 3 Build 3126 allows user-assisted attackers to cause a denial of service or possibly have unspeci...