Vulnerabilidad en Canonical Ltd. (CVE-2020-27352)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

21/06/2024

Última modificación:

26/08/2025

Descripción

Al generar las unidades de servicio systemd para el complemento de Docker (y otros complementos similares), snapd no especifica Delegate=yes; como resultado, systemd moverá los procesos de los contenedores creados y administrados por estos complementos al grupo c del daemon principal dentro del se rompe al recargar las unidades del sistema. Esto puede otorgar privilegios adicionales a un contenedor dentro del complemento que no estaban previstos originalmente.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.30

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:canonical:snapd::::::::		2.48.3 (excluyendo)
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:20.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:20.10:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:canonical:snapd::::::::		2.48.3 (excluyendo)
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:20.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:20.10:::::::*

Vulnerabilidad en Canonical Ltd. (CVE-2020-27352)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información