Vulnerabilidad en GKSu (CVE-2014-2886)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
18/09/2014
Última modificación:
12/04/2025
Descripción
GKSu 2.0.2, cuando el modo sudo no está habilitado, utiliza caracteres ' (dobles comillas) en un argumento de gksu-run-helper, lo cual permite a atacantes ejecutar comandos en ciertas situaciones relacionando una subcadena no confiable dentro de este argumento, tal y como fue demostrado mediante un nombre de fichero no confiable encontrado durante la instalación de un paquete de extensión de VirtualBox.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nongnu:gksu:2.0.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://savannah.nongnu.org/bugs/?40023=
- https://community.rapid7.com/community/metasploit/blog/2014/07/07/virtualbox-filename-command-execution-via-gksu
- https://launchpad.net/bugs/1186676
- https://security.gentoo.org/glsa/201812-10
- http://savannah.nongnu.org/bugs/?40023=
- https://community.rapid7.com/community/metasploit/blog/2014/07/07/virtualbox-filename-command-execution-via-gksu
- https://launchpad.net/bugs/1186676
- https://security.gentoo.org/glsa/201812-10