CVE-2024-8158 in 9frontinformazioni

Riassunto

di VulDB • 18/06/2026

Un bug nell'implementazione dell'autenticazione 9p all'interno di lib9p consente a un attaccante, disponendo già di un utente valido all'interno del server di autenticazione configurato, di impersonare qualsiasi altro utente valido del filesystem.

Ciò è dovuto al fatto che lib9p non verifica correttamente che il uname fornito nei messaggi 9p Tauth e Tattach corrisponda al UID del client restituito durante il handshake di autenticazione con factotum.

L'unico filesystem che utilizza queste funzioni all'interno dei sistemi base 9front è il filesystem disk sperimentale hjfs; gli altri filesystem disk (cwfs e gefs) non sono interessati da questo bug.

Questo bug è stato ereditato da Plan 9 ed è presente in tutte le versioni di 9front; è stato risolto completamente nel commit 9645ae07eb66a59015e3e118d0024790c37400da.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

9front

Prenotare

25/08/2024

Divulgazione

26/08/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00376

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!