PT-2026-42051 · Rsync+2 · Rsync+2
Joshua Rogers
·
Publicado
2026-05-20
·
Atualizado
2026-06-16
·
CVE-2026-43617
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
rsync versões anteriores a 3.4.3
Descrição
Existe uma falha de bypass de autorização na aplicação da lista de controle de acesso baseada em hostname do daemon rsync quando configurado com chroot. Atacantes podem burlar as regras de negação baseadas em hostname controlando o registro PTR (um registro DNS que mapeia um endereço IP para um hostname) do seu endereço IP de origem. Isso permite conexões de hostnames que os administradores pretendiam negar em cenários onde a resolução DNS reversa falha e assume o valor padrão UNKNOWN.
Recomendações
Atualize para a versão 3.4.3 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Ubuntu
Rsync