Impatto Sistemico

Alto (74.74)

Sintesi

Disponibile Proof of Concept (PoC) per lo sfruttamento della CVE-2025-66034 –  relativa a fontTools, nota libreria utilizzata per la creazione, gestione e manipolazione dei font variabili . Tale vulnerabilità , qualora sfruttata, potrebbe consentire ad un utente malevolo di scrivere file arbitrari sul filesystem con possibilità di escalation fino a Remote Code Execution e Privilege Escalation in scenari specifici.

Tipologia

• Arbitrary Code Execution
• Remote Code Execution
• Privilege Escalation

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2025-66034 – di tipo “XML Injection“ e con score CVSS v3.1 pari a 6.3 – che riguarda fontTools, e potrebbe consentire ad un utente malintenzionato di scrivere file arbitrari sul filesystem dei sistemi interessati.

La vulnerabilità è causata da una mancata validazione dei file di destinazione in fontTools.varLib.main(). In dettaglio, quando lo script elabora un file .designspace malformato, strutturato in formato XML, se manipolato in modo tale da contenere riferimenti a file o directory arbitrari con permessi elevati, fontTools può scrivere in un percorso non autorizzato nel sistema con privilegi elevati, causando l’esecuzione di codice arbitrario.

Prodotti e versioni affette

fontTools

• versioni precedenti alla 4.33.0 compresa

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili alla versione 4.60.2 o successive.