PT-2022-17216 · Fscrypt+2 · Fscrypt+2
Matthias Gerstner
·
Publicado
2022-02-25
·
Atualizado
2024-06-15
·
CVE-2022-25328
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do fscrypt anteriores à 0.3.3
Descrição
O script bash completion do fscrypt permite a injeção de comandos por meio de caminhos de ponto de montagem manipulados, possibilitando a escalada de privilégios em um conjunto específico de circunstâncias. Um usuário local com controle sobre os caminhos de ponto de montagem poderia potencialmente escalar seus privilégios se criasse um caminho de ponto de montagem malicioso e se o administrador do sistema estivesse usando o script bash completion do fscrypt para completar os caminhos de ponto de montagem.
Recomendações
Para versões anteriores à 0.3.3, atualize para a versão 0.3.3 ou superior. Como solução alternativa temporária, considere restringir o uso do script de autocompletar do fscrypt no bash para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Fscrypt