CVE-2026-34990 in CUPS
الملخص
بحسب VulDB • 24/06/2026
يُعد OpenPrinting CUPS نظام طباعة مفتوح المصدر لنظام Linux وأنظمة التشغيل الأخرى الشبيهة بـ Unix. في الإصدارات 2.4.16 والإصدارات الأقدم، يمكن لمستخدم محلي غير مملوك للصلاحيات (unprivileged) إجبار cupsd على المصادقة مع خدمة IPP محلية (localhost) يتحكم فيها المهاجم باستخدام رمز Authorization: Local قابل لإعادة الاستخدام. يكفي هذا الرمز لتشغيل طلبات /admin/ على localhost، ويمكن للمهاجم الجمع بين CUPS-Create-Local-Printer و printer-is-shared=true للحفاظ على طابور طباعة يستخدم بروتوكول file:///... حتى في حال رفض سياسة FileDevice العادية لمثل هذه عناوين الموارد الموحدة (URIs). يؤدي الطباعة إلى ذلك الطابور إلى الكتابة التعسفية لملف بصلاحيات الجذر (root)؛ ويستخدم نموذج الاستغلال (PoC) أدناه هذا الأساس لإسقاط جزء من ملف sudoers وإثبات تنفيذ الأوامر بصلاحيات الجذر. في وقت النشر، لا توجد تصحيحات متاحة للعامة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.