PT-2024-18043 · Kde · Kde Plasma Workspace
Andeasyteacher
·
Publicado
2024-02-11
·
Atualizado
2024-09-05
·
CVE-2024-1433
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do KDE Plasma Workspace até a 5.93.0
Descrição
Foi identificada uma vulnerabilidade crítica no KDE Plasma Workspace, afetando a função
EventPluginsManager::enabledPlugins do arquivo components/calendar/eventpluginsmanager.cpp do componente Theme File Handler. A manipulação do argumento pluginId leva a um traversal de caminho. É possível iniciar o ataque remotamente. A complexidade de um ataque é bastante alta, e a explorabilidade é considerada difícil. Esta falha requer acesso de gravação ao diretório home do usuário ou a instalação de temas globais de terceiros.Recomendações
Para corrigir esta vulnerabilidade, aplique um patch, especificamente o denominado
6cdf42916369ebf4ad5bd876c4dfa0170d7b2f01, às versões do KDE Plasma Workspace até a 5.93.0. Como solução alternativa temporária, considere restringir o acesso à função EventPluginsManager::enabledPlugins até que um patch seja aplicado. Além disso, evite usar temas globais de terceiros e restrinja o acesso de gravação ao diretório home do usuário para minimizar o risco de exploração.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kde Plasma Workspace