CVE-2026-34458

Nome do Software Vulnerável e Versões Afetadas Sandboxie-Plus versões anteriores a 1.17.3

Descrição Um problema de injeção de INI permite que um usuário local padrão ignore restrições de configuração, especificamente EditAdminOnly e ConfigPassword, para injetar diretivas arbitrárias no arquivo de configuração global Sandboxie.ini. O serviço de segundo plano não realiza verificações de autorização para mensagens IPC (Inter-Process Communication) direcionadas a seções que começam com UserSettings e não sanitiza caracteres CRLF (Carriage Return Line Feed) no parâmetro de valor via MSGID SBIE INI ADD SETTING ou no parâmetro de nome de configuração via MSGID SBIE INI SET SETTING. Isso permite que um invasor injete um novo cabeçalho de seção de sandbox com permissões irrestritas, resultando em escape de sandbox e escalonamento de privilégios para SYSTEM.

Recomendações Atualizar para a versão 1.17.3.