PT-2024-8833 · Tuned+5 · Tuned+5

Matthias Gerstner

·

Publicado

2024-11-26

·

Atualizado

2025-03-17

·

CVE-2024-52336

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Tuned (versões afetadas não especificadas)
Descrição:
Foi identificada uma vulnerabilidade de injeção de script no pacote Tuned. A função D-Bus instance create() pode ser chamada por usuários conectados localmente sem autenticação, permitindo que um usuário local sem privilégios execute uma chamada D-Bus com as opções script pre ou script post, que permitem a passagem de scripts arbitrários com seus caminhos absolutos. Esses scripts ou programas executáveis controlados pelo usuário ou pelo invasor poderiam então ser executados pelo Tuned com privilégios de root, permitindo potencialmente que invasores realizem escalonamento de privilégios local.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

LPE

Improper Privilege Management

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-269CWE-77

Identificadores relacionados

ALSA-2024:10384
ALT-PU-2024-16285
AZL-53600
AZL-53696
BDU:2024-10469
CVE-2024-52336
INFSA-2024_10384
OESA-2024-2530
OPENSUSE-SU-2024:14605-1
RHSA-2024:10384
RHSA-2024_10384
RHSA-2025:0879
RHSA-2025:0880
RLSA-2024:10384

Produtos afetados

Alt Linux
Almalinux
Red Hat
Red Os
Rocky Linux
Tuned