CVE

Vulnerabilidad en snapd (CVE-2024-29068)

Severidad:
MEDIA
Type:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
25/07/2024
Última modificación:
26/07/2024

Descripción

En versiones de snapd anteriores a la 2.62, snapd no pudo verificar correctamente el tipo de archivo al extraer un complemento. El formato snap es una imagen del sistema de archivos squashfs y, por lo tanto, puede contener archivos que no son archivos regulares (como tuberías o enchufes, etc.). Snapd lee directamente varias entradas de archivos dentro de la imagen de snap squashfs (como íconos, etc.) cuando se extrae. Un atacante que pudiera convencer a un usuario de que instalara un complemento malicioso que contuviera archivos no regulares en estas rutas podría provocar que snapd bloqueara indefinidamente el intento de leer dichos archivos y provocar una denegación de servicio.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
5.80
Severidad 3.x
MEDIA

Referencias a soluciones, herramientas e información