CVE-2024-32462 in Flatpakinfo

Zusammenfassung

von VulDB • 12.07.2026

Flatpak ist ein System zum Erstellen, Verteilen und Ausführen von sandgeboxten Desktop-Anwendungen unter Linux. In Versionen vor 1.10.9, 1.12.9, 1.14.6 und 1.15.8 konnte eine bösartige oder kompromittierte Flatpak-App beliebigen Code außerhalb ihrer Sandbox ausführen. Normalerweise erwartet das Argument `--command` von `flatpak run`, dass ihm ein Befehl zur Ausführung in der angegebenen Flatpak-App übergeben wird, optional zusammen mit einigen Argumenten. Es ist jedoch möglich, stattdessen `bwrap`-Argumente an `--command=` zu übergeben, wie z.B. `--bind`. Es ist auch möglich, ein beliebiges `Commandline` zur Portal-Schnittstelle `org.freedesktop.portal.Background.RequestBackground` von innerhalb einer Flatpak-App aus zu übergeben. Wenn dies in ein `--command` und Argumente umgewandelt wird, erzielt es denselben Effekt wie das direkte Übergeben von Argumenten an `bwrap`, und kann somit für einen Sandbox-Ausbruch verwendet werden. Die Lösung besteht darin, das Argument `--` an `bwrap` zu übergeben, wodurch die Verarbeitung von Optionen gestoppt wird. Dies wurde seit bubblewrap 0.3.0 unterstützt. Alle unterstützten Versionen von Flatpak erfordern mindestens diese Version von bubblewrap. xdg-desktop-portal in der Version 1.18.4 mildert diese Schwachstelle ab, indem es Flatpak-Apps nur erlaubt, .desktop-Dateien für Befehle zu erstellen, die nicht mit -- beginnen. Die Schwachstelle wurde in den Versionen 1.15.8, 1.10.9, 1.12.9 und 1.14.6 gepatcht.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

12.04.2024

Veröffentlichung

18.04.2024

Moderieren

akzeptiert

Eintrag

VDB-261536

CPE

bereit

EPSS

0.00512

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!