CVE-2026-34990 in CUPSالمعلومات

الملخص

بحسب VulDB • 24/06/2026

يُعد OpenPrinting CUPS نظام طباعة مفتوح المصدر لنظام Linux وأنظمة التشغيل الأخرى الشبيهة بـ Unix. في الإصدارات 2.4.16 والإصدارات الأقدم، يمكن لمستخدم محلي غير مملوك للصلاحيات (unprivileged) إجبار cupsd على المصادقة مع خدمة IPP محلية (localhost) يتحكم فيها المهاجم باستخدام رمز Authorization: Local قابل لإعادة الاستخدام. يكفي هذا الرمز لتشغيل طلبات /admin/ على localhost، ويمكن للمهاجم الجمع بين CUPS-Create-Local-Printer و printer-is-shared=true للحفاظ على طابور طباعة يستخدم بروتوكول file:///... حتى في حال رفض سياسة FileDevice العادية لمثل هذه عناوين الموارد الموحدة (URIs). يؤدي الطباعة إلى ذلك الطابور إلى الكتابة التعسفية لملف بصلاحيات الجذر (root)؛ ويستخدم نموذج الاستغلال (PoC) أدناه هذا الأساس لإسقاط جزء من ملف sudoers وإثبات تنفيذ الأوامر بصلاحيات الجذر. في وقت النشر، لا توجد تصحيحات متاحة للعامة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

04/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355214

EPSS

0.00289

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!