CVE-2024-9050 in Red Hat정보

요약

\~에 의해 VulDB • 2026. 06. 24.

NetworkManager용 libreswan 클라이언트 플러그인(NetworkManager-libreswan)에서 취약점이 발견되었습니다. 이 취약점은 로컬 비특권 사용자의 VPN 구성을 적절히 검증하지 못하는 문제입니다. 키-값 형식으로 구성된 해당 구성에서 플러그인은 특수 문자를 이스케이프 처리하지 않아 애플리케이션이 값을 키로 해석하도록 유도합니다. 악의적인 사용자가 남용할 수 있는 가장 중요한 매개변수 중 하나는 `leftupdown` 키입니다. 이 키는 실행 가능한 명령어를 값으로 받으며, NetworkManager-libreswan에서 구성 설정을 다시 NetworkManager로 가져올 때 콜백으로 무엇을 실행할지 지정하는 데 사용됩니다. NetworkManager가 Polkit를 사용하여 비특권 사용자가 시스템의 네트워크 구성을 제어하도록 허용하므로, 악성 행위자는 로컬 권한 상승과 대상 머신에서 루트 사용자로 잠재적인 코드 실행을 달성할 수 있습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Redhat

예약하다

2024. 09. 20.

모더레이션

수락

항목

VDB-281483

EPSS

0.00452

출처

Do you need the next level of professionalism?

Upgrade your account now!