PT-2022-6745 · Gnupg+11 · Gnupg+11

Demi Marie Obenour

·

Publicado

2022-06-10

·

Atualizado

2025-06-16

·

CVE-2022-34903

CVSS v2.0

7.8

Alta

VetorAV:N/AC:M/Au:N/C:C/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do GnuPG anteriores à 2.3.7
Descrição
O problema está relacionado à neutralização insuficiente de elementos especiais em uma solicitação, permitindo que um invasor remoto acesse e comprometa dados confidenciais. Em situações incomuns em que um invasor possui informações de chave secreta do chaveiro da vítima e outras condições são atendidas, como o uso do GPGME, a falsificação de assinatura é possível por meio de injeção na linha de status.
Recomendações
Para versões do GnuPG anteriores à 2.3.7, atualize para a versão 2.3.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do GPGME para minimizar o risco de exploração. Além disso, certifique-se de que as informações de chaves secretas estejam devidamente protegidas para impedir o acesso não autorizado.

Exploit

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

ALSA-2022:6463
ALSA-2022:6602
ALT-PU-2023-4953
ALT-PU-2025-7348
ALT-PU-2025-7373
AZL-10074
BDU:2023-03850
CESA-2022_6463
CVE-2022-34903
DSA-5174-1
MGASA-2022-0259
OESA-2022-1847
OPENSUSE-SU-2022:2546-1
OPENSUSE-SU-2022_2546-1
OPENSUSE-SU-2024:12215-1
RHSA-2022:6463
RHSA-2022:6602
RHSA-2022_6463
RHSA-2022_6602
RLSA-2022:6463
RLSA-2022:6602
SUSE-SU-2022:2529-1
SUSE-SU-2022:2546-1
SUSE-SU-2022:3144-1
SUSE-SU-2022_2529-1
SUSE-SU-2022_2546-1
SUSE-SU-2022_3144-1
USN-5503-1
USN-5503-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Gpgme
Gnupg
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu