CVE-2024-47946

Não há menção a nomes específicos de software ou versões nas descrições fornecidas.

A vulnerabilidade permite a execução remota de código caso um invasor tenha acesso a uma sessão válida de usuário com privilégios de administrador. Isso é possível porque arquivos PNG válidos, especialmente criados com conteúdo PHP injetado, podem ser carregados como planos de fundo da área de trabalho ou telas de bloqueio. Após o upload, o script PHP fica disponível na raiz da web. O código PHP é executado assim que o arquivo enviado é acessado, permitindo a execução de código PHP arbitrário e comandos do sistema operacional no dispositivo como “www-data”.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.