KDE Plasma Workspace до 5.93.0 Theme File eventpluginsmanager.cpp enabledPlugins pluginId обход каталога

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
3.3$0-$5k0.59

СводкаИнформация

Была найдена уязвимость, отнесённая к категории проблематичный, в KDE Plasma Workspace до 5.93.0. Используемая неизвестная функция файла components/calendar/eventpluginsmanager.cpp компонента Theme File Handler. Выполнение манипуляции с аргументом pluginId приводит к обход каталога. Уязвимость зарегистрирована как CVE-2024-1433. Атака может быть осуществлена удаленно. Эксплойт отсутствует. Рекомендуется установить обновление для решения этой проблемы.

ПодробностиИнформация

Была найдена уязвимость, отнесённая к категории проблематичный, в KDE Plasma Workspace до 5.93.0. Используемая неизвестная функция файла components/calendar/eventpluginsmanager.cpp компонента Theme File Handler. Выполнение манипуляции с аргументом pluginId приводит к обход каталога. Использование CWE для объявления проблемы приводит к тому, что CWE-22. Данная уязвимость была опубликована 11.02.2024 с идентификатором 6cdf42916369ebf4ad5bd876c4dfa0170d7b2f01. Консультация доступна для скачивания по адресу github.com.

Уязвимость зарегистрирована как CVE-2024-1433. Атака может быть осуществлена удаленно. Имеются технические подробности. Для проведения атаки требуется высокая сложность. Эксплуатация уязвимости представляется трудной. Данная уязвимость менее популярна, чем в среднем. Эксплойт отсутствует. Сейчас цена на эксплойт приблизительно равна USD $0-$5k. В проекте MITRE ATT&CK эта техника атаки обозначена как T1006.

Указано значение Не определено. Как 0-day, оценочная цена на теневом рынке составляла примерно $0-$5k.

Имя патча — 6cdf42916369ebf4ad5bd876c4dfa0170d7b2f01. Обновление уже доступно для загрузки по адресу github.com. Рекомендуется установить обновление для решения этой проблемы. В предупреждении указано следующее:

digital-calendar plasma applet is vulnerable to directory traversal attack which allows an arbitrary .so library file to be leaded as a plasma calendar plugin.

This vulnerability can be triggered via theme files that provide a config for the digital-clock applet which includes `enabledCalendarPlugins` that uses directory traversal to load arbitrary .so from the filesystem.

ПродуктИнформация

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 3.3
VulDB Meta Temp Score: 3.3

VulDB Базовый балл: 3.1
VulDB Временная оценка: 3.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 3.7
NVD Вектор: 🔍

CNA Базовый балл: 3.1
CNA Вектор (VulDB): 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: обход каталога
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

0-дневное время: 🔍

Патч: 6cdf42916369ebf4ad5bd876c4dfa0170d7b2f01

ХронологияИнформация

11.02.2024 🔍
11.02.2024 +0 дни 🔍
11.02.2024 +0 дни 🔍
20.04.2025 +433 дни 🔍

ИсточникиИнформация

Поставщик: kde.org

Консультация: 6cdf42916369ebf4ad5bd876c4dfa0170d7b2f01
Статус: Подтверждённый

CVE: CVE-2024-1433 (🔍)
GCVE (CVE): GCVE-0-2024-1433
GCVE (VulDB): GCVE-100-253407

ВходИнформация

Создано: 11.02.2024 09:54
Обновлено: 20.04.2025 01:58
Изменения: 11.02.2024 09:54 (46), 03.03.2024 13:50 (2), 03.03.2024 13:56 (17), 05.09.2024 16:16 (34), 20.04.2025 01:58 (3)
Завершенный: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Обсуждение

Do you need the next level of professionalism?

Upgrade your account now!