Katalog CVE

CVE-2026-48700

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wszystkie wersje PCManFM-Qt od 1.1.0 mają problem, w którym ścieżka do zwykłego pliku przekazywana jako URI w wywołaniu metody D-Bus org.freedesktop.FileManager1.ShowFolders powoduje, że PCManFM-Qt deleguje zadanie do innego programu bez potwierdzenia użytkownika. Może to prowadzić do wykonania kodu lub obejścia ograniczeń przestrzeni nazw sieci.

Ocena ryzyka

Ryzyko związane z tą podatnością polega na możliwości nieautoryzowanego wykonania kodu lub naruszenia bezpieczeństwa sieci, co może prowadzić do poważnych konsekwencji dla organizacji.

Rekomendacja

Zaleca się monitorowanie i ograniczenie użycia PCManFM-Qt w środowiskach, gdzie bezpieczeństwo jest kluczowe, oraz rozważenie wprowadzenia dodatkowych mechanizmów weryfikacji przed delegowaniem zadań do innych programów.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in all versions of PCManFM-Qt starting from 1.1.0. When a regular file's path is passed as a URI in an org.freedesktop.FileManager1.ShowFolders D-Bus method call, PCManFM-Qt delegates to a different program (based on the file type) without user confirmation. This could be used to achieve code execution or circumvent network namespace restrictions. NOTE: those outcomes are potentially unwanted by most users; however, the behavior of the product does comply with the applicable specification, and a simplistic solution (ensuring that the URI does not name a regular file) may have adverse consequences for I/O.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS