CVE-2024-32462 in Flatpak
Zusammenfassung
von VulDB • 12.07.2026
Flatpak ist ein System zum Erstellen, Verteilen und Ausführen von sandgeboxten Desktop-Anwendungen unter Linux. In Versionen vor 1.10.9, 1.12.9, 1.14.6 und 1.15.8 konnte eine bösartige oder kompromittierte Flatpak-App beliebigen Code außerhalb ihrer Sandbox ausführen. Normalerweise erwartet das Argument `--command` von `flatpak run`, dass ihm ein Befehl zur Ausführung in der angegebenen Flatpak-App übergeben wird, optional zusammen mit einigen Argumenten. Es ist jedoch möglich, stattdessen `bwrap`-Argumente an `--command=` zu übergeben, wie z.B. `--bind`. Es ist auch möglich, ein beliebiges `Commandline` zur Portal-Schnittstelle `org.freedesktop.portal.Background.RequestBackground` von innerhalb einer Flatpak-App aus zu übergeben. Wenn dies in ein `--command` und Argumente umgewandelt wird, erzielt es denselben Effekt wie das direkte Übergeben von Argumenten an `bwrap`, und kann somit für einen Sandbox-Ausbruch verwendet werden. Die Lösung besteht darin, das Argument `--` an `bwrap` zu übergeben, wodurch die Verarbeitung von Optionen gestoppt wird. Dies wurde seit bubblewrap 0.3.0 unterstützt. Alle unterstützten Versionen von Flatpak erfordern mindestens diese Version von bubblewrap. xdg-desktop-portal in der Version 1.18.4 mildert diese Schwachstelle ab, indem es Flatpak-Apps nur erlaubt, .desktop-Dateien für Befehle zu erstellen, die nicht mit -- beginnen. Die Schwachstelle wurde in den Versionen 1.15.8, 1.10.9, 1.12.9 und 1.14.6 gepatcht.
If you want to get best quality of vulnerability data, you may have to visit VulDB.