CVE-2024-32462 in Flatpakinformação

Sumário

de VulDB • 13/07/2026

O Flatpak é um sistema para criar, distribuir e executar aplicativos de área de trabalho em sandbox no Linux. Nas versões anteriores a 1.10.9, 1.12.9, 1.14.6 e 1.15.8, um aplicativo Flatpak malicioso ou comprometido poderia executar código arbitrário fora do seu ambiente isolado (sandbox). Normalmente, o argumento `--command` de `flatpak run` espera receber um comando para ser executado no aplicativo Flatpak especificado, opcionalmente acompanhado por alguns argumentos. No entanto, é possível passar argumentos do `bwrap` para `--command=`, como `--bind`. É possível transmitir uma linha de comandos (`commandline`) arbitrária à interface portal `org.freedesktop.portal.Background.RequestBackground` a partir de dentro de um aplicativo Flatpak. Quando isso é convertido em um argumento `--command` e seus parâmetros, obtém-se o mesmo efeito de passar argumentos diretamente ao `bwrap`, podendo assim ser utilizado para uma fuga da sandbox (sandbox escape). A solução consiste em passar o argumento `--` ao `bwrap`, fazendo com que ele pare de processar opções. Isso é suportado desde a versão 0.3.0 do bubblewrap. Todas as versões compatíveis do Flatpak exigem pelo menos essa versão do bubblewrap. O xdg-desktop-portal na versão 1.18.4 mitigará esta vulnerabilidade permitindo apenas que aplicativos Flatpak criem arquivos .desktop para comandos que não iniciam com `--`. A vulnerabilidade foi corrigida nas versões 1.15.8, 1.10.9, 1.12.9 e 1.14.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub, Inc.

Reservar

12/04/2024

Divulgação

18/04/2024

Moderação

aceite

Entrada

VDB-261536

CPE

pronto

EPSS

0.00512

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!