CVE-2025-65318

Опубликовано: 16 дек. 2025

Источник: nvd

CVSS3: 9.1

EPSS Низкий

Описание

When using the attachment interaction functionality, Canary Mail 5.1.40 and below saves documents to a file system without a Mark-of-the-Web tag, which allows attackers to bypass the built-in file protection mechanisms of both Windows OS and third-party software.

Ссылки

http://canary.com
Broken Link
http://canarymail.com
Broken Link
https://drive.google.com/file/d/14wrTzvcLPfFsWmy-SAtDwwZKKPssBsx5/view
Exploit
https://github.com/bbaboha/CVE-2025-65318-and-CVE-2025-65319
Exploit
Third Party Advisory
https://github.com/nickvourd/RTI-Toolkit
Not Applicable
https://github.com/bbaboha/CVE-2025-65318-and-CVE-2025-65319
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:canarymail:canary_mail:*:*:*:*:*:windows:*:*

Версия до 5.1.40 (включая)

EPSS

Процентиль: 29%

0.00104

Низкий

9.1 Critical

CVSS3

Дефекты

CWE-693

Связанные уязвимости

GHSA-w2r9-w6fr-cq88

CVSS3: 9.1

github

около 2 месяцев назад

BDU:2025-13740

CVSS3: 7.3

fstec

4 месяца назад

Уязвимость почтового клиента Canary Mail, связанная с нарушением механизма защиты данных, позволяющая нарушителю проводить фишинговые атаки

BDU:2025-13739