Flatpak · Flatpak · CVE-2024-32462
**Nome do software vulnerável e versões afetadas**
Versões do Flatpak anteriores à 1.10.9
Versões do Flatpak anteriores à 1.12.9
Versões do Flatpak anteriores à 1.14.6
Versões do Flatpak anteriores à 1.15.8
**Descrição**
O problema está relacionado a uma vulnerabilidade de fuga da sandbox no Flatpak, que é um sistema para compilar, distribuir e executar aplicativos de desktop em ambiente sandbox no Linux. Um aplicativo Flatpak malicioso ou comprometido poderia executar código arbitrário fora de sua sandbox passando argumentos `bwrap` para a opção `--command`, como `--bind`. Isso pode ser feito passando uma `commandline` arbitrária para a interface do portal `org.freedesktop.portal.Background.RequestBackground` de dentro de um aplicativo Flatpak. A vulnerabilidade pode ser usada para escapar da sandbox e acessar arquivos no sistema subjacente.
**Recomendações**
Para versões anteriores à 1.10.9, atualize para a versão 1.10.9 ou posterior.
Para versões anteriores à 1.12.9, atualize para a versão 1.12.9 ou posterior.
Para versões anteriores à 1.14.6, atualize para a versão 1.14.6 ou posterior.
Para versões anteriores à 1.15.8, atualize para a versão 1.15.8 ou posterior.
Como solução alternativa temporária, considere passar o argumento `--` para o `bwrap`, o que faz com que ele pare de processar opções. Além disso, a versão 1.18.4 do xdg-desktop-portal mitigará essa vulnerabilidade, permitindo que os aplicativos Flatpak criem arquivos .desktop apenas para comandos que não comecem com --.