PT-2021-8068 · Unknown+5 · Ghostscript+5

Cedric Buissart

·

Publicado

2021-09-08

·

Atualizado

2024-07-30

·

CVE-2021-3781

CVSS v3.1

9.9

Crítica

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Ghostscript (versões afetadas não especificadas)
Descrição
Foi identificada uma falha trivial de fuga da sandbox no interpretador do Ghostscript por meio da injeção de um comando pipe especialmente criado. Essa falha permite que um documento especialmente criado execute comandos arbitrários no sistema no contexto do interpretador do Ghostscript. A maior ameaça dessa vulnerabilidade é à confidencialidade, integridade e disponibilidade do sistema. A vulnerabilidade pode ser explorada através da injeção de um comando pipe especialmente criado, permitindo que um invasor remoto execute código arbitrário.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

OS Command Injection

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78CWE-20

Identificadores relacionados

ALT-PU-2021-2772
ALT-PU-2021-2808
ALT-PU-2023-1620
ALT-PU-2023-1968
ALT-PU-2024-7762
BDU:2024-05832
CVE-2021-3781
DSA-4972-1
MGASA-2021-0436
OESA-2022-1560
OPENSUSE-SU-2021:1273-1
OPENSUSE-SU-2021:3044-1
OPENSUSE-SU-2021_1273-1
OPENSUSE-SU-2021_3044-1
OPENSUSE-SU-2024:10783-1
SUSE-SU-2021:3044-1
SUSE-SU-2021:3180-1
SUSE-SU-2021_3044-1
SUSE-SU-2021_3180-1
USN-5075-1

Produtos afetados

Alt Linux
Ghostscript
Linuxmint
Red Os
Suse
Ubuntu