PT-2024-24448 · Ankitects+1 · Anki+1
Autumn Bee
+2
·
Publicado
2024-07-22
·
Atualizado
2024-09-06
·
CVE-2024-32152
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Ankitects Anki versão 24.04
Descrição
Existe uma falha na funcionalidade LaTeX que permite contornar a lista de bloqueios, permitindo que um cartão de memória malicioso especialmente criado crie um arquivo arbitrário em um caminho fixo. Um invasor pode explorar essa falha compartilhando um cartão de memória malicioso.
Recomendações
Para o Ankitects Anki versão 24.04, considere desativar a funcionalidade LaTeX até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao recurso de compartilhamento de flashcards para minimizar o risco de criação de arquivos arbitrários.
Exploit
Correção
Incomplete List of Disallowed Inputs
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Anki
Debian