CVE-2024-32462 in Flatpak
Sumário
de VulDB • 13/07/2026
O Flatpak é um sistema para criar, distribuir e executar aplicativos de área de trabalho em sandbox no Linux. Nas versões anteriores a 1.10.9, 1.12.9, 1.14.6 e 1.15.8, um aplicativo Flatpak malicioso ou comprometido poderia executar código arbitrário fora do seu ambiente isolado (sandbox). Normalmente, o argumento `--command` de `flatpak run` espera receber um comando para ser executado no aplicativo Flatpak especificado, opcionalmente acompanhado por alguns argumentos. No entanto, é possível passar argumentos do `bwrap` para `--command=`, como `--bind`. É possível transmitir uma linha de comandos (`commandline`) arbitrária à interface portal `org.freedesktop.portal.Background.RequestBackground` a partir de dentro de um aplicativo Flatpak. Quando isso é convertido em um argumento `--command` e seus parâmetros, obtém-se o mesmo efeito de passar argumentos diretamente ao `bwrap`, podendo assim ser utilizado para uma fuga da sandbox (sandbox escape). A solução consiste em passar o argumento `--` ao `bwrap`, fazendo com que ele pare de processar opções. Isso é suportado desde a versão 0.3.0 do bubblewrap. Todas as versões compatíveis do Flatpak exigem pelo menos essa versão do bubblewrap. O xdg-desktop-portal na versão 1.18.4 mitigará esta vulnerabilidade permitindo apenas que aplicativos Flatpak criem arquivos .desktop para comandos que não iniciam com `--`. A vulnerabilidade foi corrigida nas versões 1.15.8, 1.10.9, 1.12.9 e 1.14.6.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.