CVE-2021-21261

**Nome do software vulnerável e versões afetadas:

Versões do Flatpak 0.11.4 a 1.8.4

Versões do Flatpak 1.9.0 a 1.9.3

Descrição:

Foi descoberto um bug no serviço flatpak-portal que pode permitir que aplicativos em sandbox executem código arbitrário no sistema host. O serviço D-Bus do portal Flatpak (flatpak-portal, também conhecido pelo nome de serviço D-Bus org.freedesktop.portal.Flatpak) permite que aplicativos em uma sandbox Flatpak iniciem seus próprios subprocessos em uma nova instância de sandbox. Nas versões vulneráveis, o serviço do portal Flatpak passa variáveis de ambiente especificadas pelo chamador para processos fora da sandbox no sistema host e, em particular, para o comando flatpak run, usado para iniciar a nova instância da sandbox. Um aplicativo Flatpak malicioso ou comprometido poderia definir variáveis de ambiente confiáveis para o comando flatpak run e usá-las para executar código arbitrário que não esteja na sandbox.

Recomendações:

Para as versões 0.11.4 a 1.8.4, atualize para a versão 1.8.5 ou posterior.

Para as versões 1.9.0 a 1.9.3, atualize para a versão 1.9.4 ou posterior.

Como solução alternativa temporária, considere impedir que o serviço flatpak-portal seja iniciado, mas essa medida impedirá que muitos aplicativos Flatpak funcionem corretamente.