Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SecureDrop Client (CVE-2025-24889)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
13/02/2025
Última modificación:
13/02/2025

Descripción

SecureDrop Client es una aplicación de escritorio para que los periodistas se comuniquen con las fuentes y trabajen con los envíos en la estación de trabajo SecureDrop. Antes de las versiones 0.14.1 y 1.0.1, un atacante que ya hubiera obtenido la ejecución de código en una máquina virtual en la estación de trabajo SecureDrop podía obtener la ejecución de código en la máquina virtual `sd-log` enviando una entrada de registro especialmente manipulada. La vulnerabilidad no se puede explotar de forma remota y requiere que un atacante ya tenga la ejecución de código en una de las otras máquinas virtuales (VM) del sistema. Debido al uso subyacente de Qubes en la estación de trabajo para un fuerte aislamiento, la vulnerabilidad habría permitido el movimiento lateral entre cualquier VM con registro habilitado y la VM `sd-log`, pero no más allá. La estación de trabajo SecureDrop recopila registros de forma centralizada en una máquina virtual aislada llamada `sd-log` para facilitar la exportación con fines de soporte y depuración. La VM `sd-log` está completamente aislada de Internet e ingiere registros a través de una política RPC de Qubes estrecha que permite una comunicación específica entre VM a través del protocolo Xen vchan utilizado por el mecanismo qrexec de Qubes. Se encontró un error de path traversal en la lógica utilizada para elegir dónde escribir el archivo de registro para una VM específica: el nombre de la VM, utilizado sin depurar en la ruta de destino en `sd-log`, es proporcionado por la propia VM de registro en lugar de leerse desde una fuente confiable, como la variable de entorno de Qubes `QREXEC_REMOTE_DOMAIN` que se utiliza en la implementación corregida. Un atacante podría proporcionar un nombre de VM de origen arbitrario, posiblemente sobrescribiendo registros de otras VM, o escribiendo un archivo llamado `syslog.log`, con contenido controlado por el atacante, en directorios arbitrarios como un usuario con pocos privilegios. Un ataque exitoso podría sobrescribir o agregar configuración al software que carga archivos de configuración desde un directorio. Esto se puede aprovechar para lograr la ejecución de código configurando el directorio de destino en `/home/user/.config/autostart/` y permitiendo que escriba `syslog.log`, porque XFCE trata cualquier archivo en ese directorio como un archivo `.desktop` independientemente de su extensión. Las versiones 0.14.1 y 1.0.1 contienen un parche para este problema.