Informazioni sul CVE-2024-29069
snapd will follow archived symlinks when unpacking a filesystem
CWE ID: CWE-610
Base Score (CVSS): N/A
CVE: CVE-2024-29069
Descrizione: In version 2.62 or earlier of snapd, snapd failed to properly verify the destination of symbolic links when extracting snap files. The snap format is a squashfs file system image, meaning it can contain symbolic links and other file types. Various entries within the snap squashfs image (such as icons and desktop files) are directly read by snapd when extracted. An attacker who could convince a user to install a malicious snap containing symbolic links at these paths could then cause snapd to write the contents of the symbolic link destination into a world-readable directory, allowing an unprivileged user to gain access to privileged information.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
Prodotti interessati
- Canonical – snapd
Relazioni con altri prodotti
Produttore:Canonical
Prodotto: snapd
Anno: 2024
CWE: CWE-610
CVSS: 0.0