CVE-2025-41259
HighCVSS 7.3Exploitation Probability (EPSS)
Low risk2th percentile - higher than 2% of all known CVEs
Summary
SWUpdate przed wersją 2026.05 jest podatny na warunkową wyścigową sytuację typu time-of-check time-of-use (TOCTOU), co pozwala lokalnym, nieuprzywilejowanym atakującym na eskalację uprawnień do roota lub instalację niezweryfikowanych treści przy użyciu podpisanej aktualizacji.
Risk Assessment
Podatność ta stwarza ryzyko dla organizacji, umożliwiając atakującym uzyskanie pełnych uprawnień do systemu oraz potencjalne wprowadzenie złośliwego oprogramowania.
Recommendation
Zaleca się aktualizację SWUpdate do wersji 2026.05 lub nowszej, aby usunąć tę podatność oraz monitorowanie systemów w celu wykrycia nieautoryzowanych aktualizacji.
Original NVD description (English source)
SWUpdate before 2026.05 is affected by a time-of-check time-of-use (TOCTOU) race condition that allows local unprivileged attackers to escalate privileges to root or install untrusted contents using a signed update.

