PT-2024-21107 · Unknown+1 · Diffoscope+1
Publicado
2024-02-11
·
Atualizado
2024-06-15
·
CVE-2024-25711
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do diffoscope anteriores à 256
Descrição
A vulnerabilidade permite a traversal de diretórios por meio de um nome de arquivo incorporado em um arquivo GPG, podendo revelar o conteúdo de qualquer arquivo, como ../.ssh/id rsa, a um invasor. Isso ocorre porque o valor da opção
gpg --use-embedded-filenames é considerado confiável.Recomendações
Para versões anteriores à 256, atualize para a versão 256 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de nomes de arquivos incorporados em arquivos GPG para minimizar o risco de exploração. Restrinja o acesso a arquivos e diretórios confidenciais para evitar a possível divulgação de seus conteúdos.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Diffoscope