PT-2024-8538 · Unknown+3 · Needrestart+3

Liske

+3

·

Publicado

2024-11-17

·

Atualizado

2024-12-22

·

CVE-2024-11003

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do needrestart anteriores à 3.8
Descrição
O problema está relacionado ao fato de o needrestart passar dados não sanitizados para uma biblioteca que espera entradas seguras. Isso poderia permitir que um invasor local executasse comandos de shell arbitrários com privilégios de root.
Recomendações
Para versões anteriores à 3.8, atualize para a versão 3.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do utilitário needrestart até que um patch seja aplicado. Evite usar o utilitário needrestart com dados de entrada não sanitizados para minimizar o risco de exploração.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

BDU:2024-10105
CVE-2024-11003
DLA-3957-1
DLA-3957-2
DSA-5815-1
DSA-5815-2
USN-7117-1
USN-7117-2
USN-7117-3

Produtos afetados

Astra Linux
Linuxmint
Ubuntu
Needrestart