PT-2020-6148 · Lilypond+2 · Lilypond+2

Faidon Liambotis

Publicado

2020-08-05

Atualizado

2024-06-15

CVE-2020-17353

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões 2.20.0 e anteriores do LilyPond

Versões 2.21.x a 2.21.4 do LilyPond

Descrição

O problema está relacionado à falta de restrições em embedded-ps e embedded-svg quando a opção -dsafe é usada. Isso pode ser explorado pela inclusão de código PostScript perigoso, permitindo potencialmente que um invasor execute código arbitrário.

Recomendações

Para as versões 2.20.0 e anteriores do LilyPond, considere desativar o uso de embedded-ps e embedded-svg até que um patch esteja disponível.

Para as versões 2.21.x a 2.21.4 do LilyPond, restrinja o uso de embedded-ps e embedded-svg para minimizar o risco de exploração.

Como solução temporária, evite usar a opção -dsafe com embedded-ps e embedded-svg até que o problema seja resolvido.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-264

Identificadores relacionados

ALT-PU-2020-2599

ALT-PU-2020-2877

ALT-PU-2021-1207

BDU:2021-03182

CVE-2020-17353

DSA-4756-1

MGASA-2020-0414

OPENSUSE-SU-2020:1453-1

OPENSUSE-SU-2020:1506-1

OPENSUSE-SU-2020_1453-1

OPENSUSE-SU-2024:11021-1

Produtos afetados

Alt Linux

Lilypond

Suse

PT-2020-6148 · Lilypond+2 · Lilypond+2

CVE-2020-17353

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 32