PT-2022-3524 · Exo+4 · Exo+4

Igor Souza

·

Publicado

2022-06-08

·

Atualizado

2023-05-21

·

CVE-2022-32278

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
XFCE versão 4.16
Descrição
A vulnerabilidade permite que invasores executem código arbitrário, pois o xdg-open pode executar um arquivo .desktop em um servidor FTP controlado pelo invasor. Isso está relacionado a erros nas configurações de segurança da biblioteca de aplicativos exo do ambiente de desktop XFCE. A exploração da vulnerabilidade pode permitir que um invasor remoto execute código arbitrário usando um arquivo .desktop especialmente criado.
Recomendações
Para a versão 4.16 do XFCE, a fim de impedir a execução de arquivos .desktop possivelmente maliciosos provenientes de fontes online, considere atualizar para uma versão em que essa vulnerabilidade tenha sido corrigida, o que inclui alterações para impedir a execução de arquivos .desktop de fontes como ftp:// ou http://. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-254

Identificadores relacionados

ALT-PU-2022-2040
ALT-PU-2022-2135
ALT-PU-2023-1842
BDU:2022-04307
CVE-2022-32278
DLA-3056-1
DSA-5164-1
MGASA-2022-0238
USN-6008-1

Produtos afetados

Alt Linux
Linuxmint
Ubuntu
Xfce
Exo