Поддержать Telegram

CVE-2025-70887

HIGH CVSS 3.1: 8,8 EPSS 0.14%

25 марта 2026

Обновлено 27 марта 2026

An

Параметр	Значение
CVSS	8,8 (HIGH)
Тип уязвимости	CWE-269 (Неправильное управление привилегиями)
Поставщик	An
Публичный эксплойт	Нет

Проблема в ralphje Signify до версии 0.9.2 позволяет удаленному злоумышленнику повышать привилегии через компоненты Signed_data.py и context.py.

Показать оригинальное описание (EN)

An issue in ralphje Signify before v.0.9.2 allows a remote attacker to escalate privileges via the signed_data.py and the context.py components

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-269 Improper Privilege Management (Неправильное управление привилегиями)

Ссылки 5

https://github.com/mtrojnar/osslsigncode/issues/475

https://github.com/mtrojnar/osslsigncode/pull/477

https://github.com/mtrojnar/osslsigncode/releases/tag/2.11

https://github.com/ralphje/signify/commit/64f21c0cc06cea0536370686ca3ba7a01e4ad…

https://github.com/ralphje/signify/issues/60

Share Post Share Share Share

Сводка

CVE ID

CVE-2025-70887

Опубликовано

25 марта, 2026

Поставщик

An

Уровень угрозы

HIGH

CVSS v3.1 Оценка

8,8

Высокая. Рекомендуется устранить в первую очередь.

Оценка угрозы

Простота эксплуатации 2,8/10

Насколько легко использовать уязвимость

Ущерб 5,9/10

Возможный ущерб при атаке

Вероятность атаки (EPSS)

Шанс использования 0.14%

Вероятность использования в ближайшие 30 дней

Уровень риска: Опаснее 33.3% всех уязвимостей

Стандартный цикл обновлений

Ущерб

Полная утечка данных

Полная модификация данных

Отказ в обслуживании

Ссылка

Перейти к источнику

Выбор редакции