ID do comunicado de segurança: NSKPSA-2025-002
Classificação de gravidade: média
Comunicado pela primeira vez: 13 de agosto de 2025
Pontuação geral do CVSS: 6,0
Versão: 1,0
CVE-ID: CVE-2025-0309
Description
Uma validação insuficiente no ponto de conexão do servidor no Netskope Client permite que usuários locais elevem privilégios no sistema. A validação insuficiente permite que o Netskope Client se conecte a qualquer outro servidor com certificados TLS CA assinados publicamente e envie respostas especialmente criadas para elevar privilégios.
Affected Product(s) and Version(s)
Nome do produto: Netskope Client
Versões afetadas: R128 e anteriores
CVE-ID(s)
CVE-2025-0309
Correção
A Netskope corrigiu o problema e lançou uma nova versão, a R129. Recomenda-se aos clientes que atualizem o Netskope Client para a versão R129 ou superior.
Instruções para download do Netskope – Baixe o Netskope Client e os scripts – Suporte Netskope
Solução alternativa
Os clientes podem impedir que o Netskope Client se conecte a qualquer servidor aleatório, exceto ao domínio goskope.com.
General Security Best Practices
A Netskope recomenda utilizar as opções de reforço de segurança disponíveis no produto e configurá-las para reforçar a segurança de um locatário Netskope.
https://support.netskope.com/s/article/Secure-Tenant-Configuration
Special Notes and Acknowledgement
A Netskope agradece a Richard Warren, da AmberWolf, por relatar essa falha.
Exploitation and Public Disclosures
A Netskope não tem conhecimento de nenhuma exploração ativa do problema de segurança.
Revision History
Versão | Data | Section | Notes |
---|---|---|---|
1.0 | 13 de agosto de 2025 | Lançamento inicial |
Contrato
Na medida máxima permitida pela lei aplicável, as informações fornecidas neste aviso são fornecidas “no estado em que se encontram”, sem qualquer tipo de garantia. O uso das informações contidas neste aviso ou dos materiais aqui vinculados é por sua conta e risco. Este aviso e todos os aspectos da Política de Resposta a Incidentes de Segurança de Produtos da Netskope estão sujeitos a alterações sem aviso prévio. A resposta não é garantida para nenhum problema específico ou classe de problemas. Seus direitos em relação a garantias, suporte e manutenção, incluindo vulnerabilidades em qualquer software ou serviço da Netskope, são regidos exclusivamente pelo contrato principal aplicável entre a Netskope e o senhor. As declarações contidas neste aviso não modificam, ampliam ou alteram nenhum dos seus direitos sob o contrato principal aplicável, nem criam garantias ou compromissos adicionais.
Sobre a Netskope
A Netskope, líder em segurança e redes modernas, atende às necessidades das equipes de segurança e redes, fornecendo acesso otimizado e segurança em tempo real baseada em contexto para pessoas, dispositivos e dados em qualquer lugar. Milhares de clientes, incluindo mais de 30 das empresas da Fortune 100, confiam na plataforma Netskope One, no seu Zero Trust Engine e na sua poderosa rede NewEdge para reduzir riscos e obter visibilidade e controle total sobre a nuvem, IA, SaaS, web e aplicativos privados, proporcionando segurança e acelerando o desempenho sem comprometer a qualidade.