Thunar bis 4.16.6/4.17.1 Command-Line Argument erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

In Thunar bis 4.16.6/4.17.1 wurde eine kritische Schwachstelle entdeckt. Betroffen ist eine unbekannte Verarbeitung der Komponente Command-Line Argument Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-77. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

An issue was discovered in Thunar before 4.16.7 and 4.17.x before 4.17.2. When called with a regular file as a command-line argument, it delegates to a different program (based on the file type) without user confirmation. This could be used to achieve code execution.

Die Schwachstelle wurde am 11.05.2021 öffentlich gemacht. Bereitgestellt wird das Advisory unter openwall.com. Die Verwundbarkeit wird seit dem 11.05.2021 als CVE-2021-32563 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann im lokalen Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 4.16.7 oder 4.17.2 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von gitlab.xfce.org bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Produktinfoanpassen

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-77
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Thunar 4.16.7/4.17.2
Patch: gitlab.xfce.org

Timelineinfoanpassen

11.05.2021 Advisory veröffentlicht
11.05.2021 +0 Tage CVE zugewiesen
11.05.2021 +0 Tage VulDB Eintrag erstellt
13.05.2021 +2 Tage VulDB letzte Aktualisierung

Quelleninfoanpassen

Advisory: openwall.com
Status: Bestätigt

CVE: CVE-2021-32563 (🔒)

Eintraginfoanpassen

Erstellt: 11.05.2021 12:44
Aktualisierung: 13.05.2021 10:11
Anpassungen: (5) source_cve_assigned source_cve_nvd_summary vulnerability_cvss2_vuldb_tempscore vulnerability_cvss3_vuldb_tempscore vulnerability_cvss3_meta_tempscore
Komplett: 🔍

Kommentare

Do you need the next level of professionalism?

Upgrade your account now!