Katalog CVE

CVE-2026-49134

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

CodexBar w wersjach przed 0.32.0 zawiera podatność na eskalację uprawnień w instalatorze CLI, która pozwala lokalnym atakującym na wykonywanie dowolnych poleceń jako root poprzez wykorzystanie warunków wyścigu w obsłudze plików tymczasowych. Instalator tworzy plik tymczasowy, zapisuje w nim uprzywilejowany ładunek powłoki i wykonuje go z uprawnieniami administratora.

Ocena ryzyka

Podatność ta stwarza ryzyko, że lokalni użytkownicy mogą uzyskać nieautoryzowany dostęp do uprawnień administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu. Atakujący mogą uruchamiać dowolne polecenia jako root, co zagraża integralności i poufności danych.

Rekomendacja

Zaleca się aktualizację CodexBar do wersji 0.32.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do instalatora CLI tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

CodexBar prior to 0.32.0 contains a privilege escalation vulnerability in the CLI installer that allows local attackers to execute arbitrary commands as root by exploiting a race condition in temporary file handling. The installer creates a temporary file with mktemp, writes a privileged shell payload into it, and executes it with administrator privileges via bash, allowing a same-user local process to rewrite the installer body before the administrator prompt is approved, causing attacker-controlled commands to run as root.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS