Informazioni sul CVE-2022-31252

permissions: chkstat does not check for group-writable parent directories or target files in safeOpen()

CWE ID: CWE-863

Base Score (CVSS): N/A

CVE: CVE-2022-31252

Descrizione: A Incorrect Authorization vulnerability in chkstat of SUSE Linux Enterprise Server 12-SP5; openSUSE Leap 15.3, openSUSE Leap 15.4, openSUSE Leap Micro 5.2 did not consider group writable path components, allowing local attackers with access to a group what can write to a location included in the path to a privileged binary to influence path resolution. This issue affects: SUSE Linux Enterprise Server 12-SP5 permissions versions prior to 20170707. openSUSE Leap 15.3 permissions versions prior to 20200127. openSUSE Leap 15.4 permissions versions prior to 20201225. openSUSE Leap Micro 5.2 permissions versions prior to 20181225.

Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 4.3 (Medium)

Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: None.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	L	Local	L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	L	Low	Richiede pochi privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	L	Low	Impatto limitato.
Integrity Impact (I)	L	Low	Impatto limitato.
Availability Impact (A)	N	None	Nessun impatto sulla disponibilità.

Riferimenti esterni

https://bugzilla.suse.com/show_bug.cgi?id=1203018

Prodotti interessati

SUSE – SUSE Linux Enterprise Server 12-SP5
openSUSE – openSUSE Leap 15.3
openSUSE – openSUSE Leap 15.4
openSUSE – openSUSE Leap Micro 5.2

Relazioni con altri prodotti

Produttore:SUSE
Prodotto: SUSE Linux Enterprise Server 12-SP5
Anno: 2022
CWE: CWE-863
CVSS: 0.0

Produttore:openSUSE
Prodotto: openSUSE Leap 15.3
Anno: 2022
CWE: CWE-863
CVSS: 0.0

Produttore:openSUSE
Prodotto: openSUSE Leap 15.4
Anno: 2022
CWE: CWE-863
CVSS: 0.0

Produttore:openSUSE
Prodotto: openSUSE Leap Micro 5.2
Anno: 2022
CWE: CWE-863
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2022)