Flatpak输入验证错误漏洞

CNVD编号CNVD-2021-103405

CVE编号 CVE-2021-41133	CNNVD编号 CNNVD-202110-480
CICSVD编号 --
危害级别	漏洞类型通用型漏洞
公开时间 2021-12-30	报送时间 2021-10-11
收录时间 2021-12-30	更新时间 2021-12-30
CVSS 2.0 AV:L/AC:L/Au:N/C:P/I:P/A:P
CVSS 3.X CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影响产品 Flatpak Flatpak <1.12.0 Flatpak Flatpak <1.10.4

漏洞描述

Flatpak是一套用于Linux桌面应用计算机环境的应用程序虚拟化系统。 Flatpak 1.12.0和1.10.4之前版本存在输入验证错误漏洞，该漏洞源于可直接访问AF_UNIX套接字（如Wayland、Pipewire或Pipewire pulse使用的套接字）的Flatpak应用程序可以欺骗门户和其他主机操作系统服务，使其将Flatpak应用程序视为普通的、非沙盒主机操作系统进程。目前没有详细漏洞细节提供。

漏洞解决方案

厂商已发布了漏洞修复程序，请及时关注更新： https://github.com/flatpak/flatpak/security/advisories/GHSA-67h7-w3jq-vh4q

厂商补丁

前往查看

前往查看

前往查看

前往查看