PT-2026-53273 · Acl · Acl
Andreas Gruenbacher
+1
·
Publicado
2026-06-29
·
Atualizado
2026-06-29
·
CVE-2026-54370
CVSS v3.1
6.3
Média
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
acl versões anteriores a 2.4.0
Descrição
Ocorre uma condição de corrida de tempo de verificação para tempo de uso (TOCTOU) quando um invasor local substitui um componente de caminho por um link simbólico entre uma verificação
lstat() e operações subsequentes de seguimento de link simbólico. Essas operações incluem stat(), chown(), chmod(), acl get file() e acl set file(). Se um processo privilegiado invocar getfacl, setfacl ou chacl em um caminho controlado pelo invasor, as operações de lista de controle de acesso a arquivos podem ser redirecionadas para arquivos arbitrários, resultando em escalonamento de privilégios locais.Recomendações
Atualize para a versão 2.4.0 ou posterior.
Correção
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Acl