Katalog CVE

CVE-2024-5138

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Komponent snapctl w snapd pozwala na interakcję z demonem snapd, umożliwiając ograniczonemu snapowi wykonywanie pewnych uprzywilejowanych działań. Wykryto, że snapctl nieprawidłowo analizował argumenty wiersza poleceń, co pozwalało nieuprzywilejowanemu użytkownikowi na wywołanie autoryzowanej akcji w imieniu snapa.

Ocena ryzyka

Ryzyko dla organizacji polega na tym, że nieuprzywilejowani użytkownicy mogą uzyskać dostęp do uprzywilejowanych działań, co może prowadzić do nieautoryzowanych zmian w systemie lub wycieku danych.

Rekomendacja

Zaleca się aktualizację snapd do najnowszej wersji, aby naprawić problem z analizą argumentów oraz ograniczenie dostępu do snapctl dla nieuprzywilejowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The snapctl component within snapd allows a confined snap to interact with the snapd daemon to take certain privileged actions on behalf of the snap. It was found that snapctl did not properly parse command-line arguments, allowing an unprivileged user to trigger an authorised action on behalf of th

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS