CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49134

HighCVSS 7.1
Published: Updated: Translated: NVD NIST

Summary

CodexBar w wersjach przed 0.32.0 zawiera podatność na eskalację uprawnień w instalatorze CLI, która pozwala lokalnym atakującym na wykonywanie dowolnych poleceń jako root poprzez wykorzystanie warunków wyścigu w obsłudze plików tymczasowych. Instalator tworzy plik tymczasowy, zapisuje w nim uprzywilejowany ładunek powłoki i wykonuje go z uprawnieniami administratora.

Risk Assessment

Podatność ta stwarza ryzyko, że lokalni użytkownicy mogą uzyskać nieautoryzowany dostęp do uprawnień administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu. Atakujący mogą uruchamiać dowolne polecenia jako root, co zagraża integralności i poufności danych.

Recommendation

Zaleca się aktualizację CodexBar do wersji 0.32.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do instalatora CLI tylko do zaufanych użytkowników.

Original NVD description (English source)

CodexBar prior to 0.32.0 contains a privilege escalation vulnerability in the CLI installer that allows local attackers to execute arbitrary commands as root by exploiting a race condition in temporary file handling. The installer creates a temporary file with mktemp, writes a privileged shell payload into it, and executes it with administrator privileges via bash, allowing a same-user local process to rewrite the installer body before the administrator prompt is approved, causing attacker-controlled commands to run as root.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS