PT-2024-10421 · Kde+4 · Kde Plasma Workspace+4
Fabian Vogt
·
Publicado
2024-04-14
·
Atualizado
2024-08-18
·
CVE-2024-36041
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do KDE Plasma Workspace anteriores à 5.27.11.1
Versões do KDE Plasma Workspace 6.x anteriores à 6.0.5.1
Descrição
A vulnerabilidade permite conexões via ICE baseadas exclusivamente no host, ou seja, todas as conexões locais são aceitas. Isso permite que outro usuário na mesma máquina obtenha acesso ao gerenciador de sessões. Um cliente malicioso poderia usar o recurso de restauração de sessão para executar código arbitrário como a vítima na próxima inicialização, por meio do uso prévio do diretório /tmp.
Recomendações
Para versões do KDE Plasma Workspace anteriores à 5.27.11.1, atualize para a versão 5.27.11.1 ou posterior.
Para versões do KDE Plasma Workspace 6.x anteriores à 6.0.5.1, atualize para a versão 6.0.5.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao gerenciador de sessões para minimizar o risco de exploração.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Kde Plasma Workspace
Linuxmint
Ubuntu