PT-2022-7135 · X.Org+9 · X.Org Server+9
Jan-Niklas Sohn
·
Publicado
2022-11-21
·
Atualizado
2024-10-08
·
CVE-2022-46340
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
X.Org Server (versões afetadas não especificadas)
Descrição
O problema está relacionado a um estouro de buffer na função XTestSwapFakeInput do X.Org Server, que pode ser explorado por um invasor remoto para acessar dados confidenciais, comprometer sua integridade e causar uma negação de serviço. A vulnerabilidade ocorre porque o manipulador de troca para a solicitação XTestFakeInput da extensão XTest pode corromper a pilha se GenericEvents com comprimentos superiores a 32 bytes forem enviados por meio da solicitação XTestFakeInput. Isso pode levar à elevação de privilégios locais em sistemas onde o servidor X está sendo executado com privilégios e à execução remota de código para sessões de encaminhamento SSH X. No entanto, isso não afeta sistemas onde o cliente e o servidor usam a mesma ordem de bytes.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
RCE
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Suse
Ubuntu
X.Org Server