Sublime Text 3 w wersji Build 3208 i wcześniejszych na systemie macOS jest podatny na atak typu Dylib Injection (CWE-427 — Uncontrolled Search Path Element). Podatność umożliwia atakującemu wymuszenie załadowania i wykonania złośliwej biblioteki .dylib w kontekście procesu Sublime Text.
▸ Pokaż oryginał (EN)
Sublime Text 3 Build 3208 or prior for MacOS is vulnerable to Dylib Injection. An attacker could compile a .dylib file and force the execution of this library in the context of the Sublime Text application.
Atak polega na skompilowaniu złośliwej biblioteki dynamicznej (.dylib) i umieszczeniu jej w lokalizacji przeszukiwanej przez aplikację podczas ładowania zależności. Ponieważ Sublime Text 3 nie weryfikuje w sposób wystarczający ścieżki poszukiwania bibliotek, złośliwy plik .dylib zostaje załadowany i wykonany z uprawnieniami procesu aplikacji. Nie jest wymagana interakcja użytkownika poza uruchomieniem podatnej aplikacji.
Atakujący może wykonać dowolny kod w kontekście procesu Sublime Text, co może prowadzić do uzyskania dostępu do danych użytkownika, eskalacji uprawnień lub kompromitacji systemu — zgodnie z wektorem CVSS wskazującym pełne naruszenie poufności, integralności i dostępności.
Należy zaktualizować Sublime Text do wersji wyższej niż Build 3208 lub przejść na Sublime Text 4. Zaleca się stosowanie zasady najmniejszych uprawnień oraz ograniczenie możliwości zapisu do katalogów przeszukiwanych przez aplikację. Należy zastosować patche dostępne u producenta zgodnie z referencjami.
Sublime Text 3 Build 3208 i wcześniejsze na systemie macOS.
Publicznie dostępny kod proof-of-concept został opublikowany w repozytorium GitHub przez vinicius-batistella (https://github.com/vinicius-batistella/CVE-2025-65741/). Podatność dotyczy wyłącznie platformy macOS.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSublimetext Sublime Text 3
APPSublimetext< 3.2.2