PT-2024-1850 · Fontforge+10 · Fontforge+10

Pkvanca

·

Publicado

2024-02-26

·

Atualizado

2025-11-11

·

CVE-2024-25081

CVSS v3.1

4.2

Média

VetorAV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do FontForge até 20230101
Descrição
A vulnerabilidade existe devido à falta de neutralização de elementos especiais no software. Isso pode permitir que um invasor execute comandos arbitrários por meio de nomes de arquivos manipulados. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não foram fornecidos detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões até 20230101, considere desativar a capacidade de processar nomes de arquivos criados de forma maliciosa como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao recurso Splinefont no FontForge para minimizar o risco de exploração. Evite usar o recurso Splinefont com entradas não confiáveis até que o problema seja resolvido.

Correção

Command Injection

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-78

Identificadores relacionados

ALSA-2024:4267
ALSA-2024:9439
ALT-PU-2025-13668
ALT-PU-2025-14182
BDU:2024-01604
CESA-2024_4267
CVE-2024-25081
DLA-3754-1
DSA-5641-1
INFSA-2024_4267
INFSA-2024_9439
MGASA-2024-0082
OESA-2024-1228
OPENSUSE-SU-2024:13755-1
RHSA-2024:4267
RHSA-2024:9439
RHSA-2024_4267
RHSA-2024_9439
RHSA-2026:2566
RLSA-2024:9439
SUSE-SU-2024:0863-1
SUSE-SU-2024:0864-1
SUSE-SU-2024_0863-1
SUSE-SU-2024_0864-1
USN-6856-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Fontforge
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu