PT-2021-23126 · Unknown+1 · Qutebrowser+1
Ping Fan (Zetta) Ke
·
Publicado
2020-10-29
·
Atualizado
2022-10-24
·
CVE-2021-41146
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do qutebrowser de 1.7.0 a 2.3.x
Descrição
A vulnerabilidade permite a execução de código arbitrário por meio de comandos como
:spawn ou :debug-pyeval quando uma URL qutebrowserurl: especialmente criada é aberta com determinados aplicativos. Apenas as instalações do Windows nas quais o qutebrowser está registrado como um manipulador de URL são afetadas. A correção também adiciona reforço de segurança adicional para possíveis problemas semelhantes no Linux.Recomendações
Para as versões 1.7.x do qutebrowser, aplique o patch retroportado d1ceaab.
Para as versões 1.8.x do qutebrowser, aplique o patch retroportado ca7155d.
Para as versões 1.9.x do qutebrowser, aplique o patch retroportado 157d871.
Para as versões 1.10.x do qutebrowser, aplique o patch retroportado 94a6125.
Para as versões 1.11.x do qutebrowser, aplique o patch retroportado 10acfbb.
Para as versões 1.12.x do qutebrowser, aplique o patch retroportado 363a18f.
Para as versões 1.13.x do qutebrowser, aplique o patch retroportado 410f262.
Para as versões 1.14.x do qutebrowser, aplique o patch retroportado e4f4d93.
Para as versões 2.0.x do qutebrowser, aplique o patch retroportado 15a1654.
Para as versões 2.1.x do qutebrowser, aplique o patch retroportado 509ddf2.
Para as versões 2.2.x do qutebrowser, aplique o patch retroportado 03dcba5.
Para as versões 2.3.x do qutebrowser, aplique o patch retroportado 00a694c.
Para todas as versões afetadas, remova completamente o qutebrowser das configurações padrão do navegador para impedir que ele processe qualquer tipo de URL.
Correção
Command Injection
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Qutebrowser