PT-2024-1853 · Fontforge+10 · Fontforge+10

Pkvanca

·

Publicado

2024-02-26

·

Atualizado

2025-11-11

·

CVE-2024-25082

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do FontForge até 20230101
Descrição
A vulnerabilidade permite a injeção de comandos por meio de arquivos compactados ou arquivos criados especificamente para esse fim. Isso se deve à falta de medidas para neutralizar elementos especiais, o que pode permitir que um invasor execute comandos arbitrários.
Recomendações
Para versões até 20230101, considere desativar o tratamento de arquivos criados especificamente para esse fim ou arquivos compactados como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao recurso Splinefont no FontForge para minimizar o risco de exploração. Evite usar o software com entradas não confiáveis até que o problema seja resolvido.

Correção

Command Injection

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-78

Identificadores relacionados

ALSA-2024:4267
ALSA-2024:9439
ALT-PU-2025-13668
ALT-PU-2025-14182
BDU:2024-01608
CESA-2024_4267
CVE-2024-25082
DLA-3754-1
DSA-5641-1
INFSA-2024_4267
INFSA-2024_9439
MGASA-2024-0082
OESA-2024-1228
RHSA-2024:4267
RHSA-2024:9439
RHSA-2024_4267
RHSA-2024_9439
RHSA-2026:2566
RLSA-2024:9439
SUSE-SU-2024:0863-1
SUSE-SU-2024:0864-1
USN-6856-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Fontforge
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu