Ανακαλύφθηκε μια ευπάθεια στο Lite XL, ένα ελαφρύ πρόγραμμα επεξεργασίας κειμένου, που θα μπορούσε να επιτρέψει στους εισβολείς να εκτελούν αυθαίρετο κώδικα σε συστήματα που επηρεάζονται.
Οι ειδικοί του Πανεπιστημίου Carnegie Mellon εντόπισαν το CVE-2025-12120, το οποίο επηρεάζει τις εκδόσεις Lite XL 2.1.8 και παλαιότερες. Το ελάττωμα υπάρχει στον τρόπο με τον οποίο το Lite XL χειρίζεται τα αρχεία διαμόρφωσης έργου.
Πώς λειτουργεί η ευπάθεια
Όταν οι χρήστες ανοίγουν έναν κατάλογο έργου, το Lite XL εκτελεί αυτόματα το αρχείο .lite_project.lua χωρίς να ζητά επιβεβαίωση από τον χρήστη.
Αυτό το αρχείο προορίζεται για ρυθμίσεις και διαμορφώσεις συγκεκριμένου έργου, αλλά μπορεί να περιέχει εκτελέσιμο κώδικα Lua.
Το πρόβλημα παρουσιάζεται επειδή δεν υπάρχει βήμα επαλήθευσης πριν από την εκτέλεση. Οι χρήστες αναμένουν ότι το αρχείο διαμόρφωσης θα είναι αβλαβές, αλλά οι εισβολείς μπορούν να ενσωματώσουν κακόβουλο κώδικα Lua μέσα σε αυτό.
Ας υποθέσουμε ότι ένας ανυποψίαστος χρήστης ανοίγει έναν κατάλογο κακόβουλου έργου. Σε αυτήν την περίπτωση, αυτός ο κωδικός εκτελείται αμέσως με τα ίδια δικαιώματα με την εφαρμογή Lite XL.
| CVE ID | Προϊόν | Εκδόσεις που επηρεάζονται | Τύπος ευπάθειας |
|---|---|---|---|
| CVE-2025-12120 | Επεξεργαστής κειμένου Lite XL | 2.1.8 και νωρίτερα | Αυθαίρετη εκτέλεση κώδικα (ACE) |
Ένας εισβολέας θα μπορούσε να διανείμει έναν φαινομενικά νόμιμο φάκελο έργου μέσω GitHub, υπηρεσιών κοινής χρήσης αρχείων ή άλλων πλατφορμών.
Όταν ένας προγραμματιστής ανοίγει αυτό το έργο στο Lite XL, το ενσωματωμένο αρχείο malicious.lite_project, lua εκτελείται σιωπηλά.
Ο εισβολέας θα μπορούσε στη συνέχεια να κλέψει ευαίσθητα δεδομένα, να τροποποιήσει αρχεία, να εγκαταστήσει κακόβουλο λογισμικό ή να θέσει περαιτέρω σε κίνδυνο το σύστημα του χρήστη.
Αυτός ο τύπος επίθεσης είναι επικίνδυνος επειδή οι χρήστες συχνά εμπιστεύονται έργα από γνωστές πηγές ή αποθετήρια χωρίς να επιθεωρούν προσεκτικά τα αρχεία διαμόρφωσης.
Κάθε χρήστης που εκτελεί έκδοση Lite XL 2.1.8 ή παλαιότερη είναι ευάλωτος, όπως αναφέρθηκε από ερευνητές στο Πανεπιστήμιο Carnegie Mellon.
Ο αντίκτυπος εξαρτάται από τα δικαιώματα συστήματος του χρήστη. Στις περισσότερες περιπτώσεις, ο εισβολέας αποκτά τα ίδια προνόμια με τη διαδικασία Lite XL, κάτι που θα μπορούσε να είναι σημαντικό εάν το Lite XL εκτελείται με αυξημένα δικαιώματα.
Οι χρήστες θα πρέπει να ενημερώσουν αμέσως το Lite XL σε μια ενημερωμένη έκδοση μόλις γίνει διαθέσιμο και να αποφύγουν το άνοιγμα μη αξιόπιστων καταλόγων έργων στο Lite XL.
Επιθεωρήστε τα περιεχόμενα οποιουδήποτε αρχείου .lite_project.lua πριν ανοίξετε έργα από άγνωστες πηγές. Αυτή η ευπάθεια καταδεικνύει τη σημασία της κατανόησης του τρόπου με τον οποίο οι εφαρμογές χειρίζονται τα αρχεία διαμόρφωσης, ειδικά όταν περιέχουν εκτελέσιμο κώδικα.
Οι συντηρητές Lite XL θα πρέπει να εφαρμόζουν προτροπές επιβεβαίωσης πριν από την εκτέλεση των αρχείων διαμόρφωσης έργου ή να απενεργοποιούν εντελώς την αυτόματη εκτέλεση.
