Vulnerabilidad en Tuned (CVE-2024-52337)

Se encontró una falla de suplantación de registros en el paquete Tuned debido a una desinfección incorrecta de algunos argumentos de la API. Esta falla permite a un atacante pasar una secuencia controlada de caracteres; se pueden insertar nuevas líneas en el registro. En lugar de la línea 'evil', el atacante podría imitar una línea de registro válida de TuneD y engañar al administrador. Las comillas '' se utilizan generalmente en los registros de TuneD que citan la entrada del usuario sin procesar, por lo que siempre habrá el carácter ' al final de la entrada suplantada, y el administrador puede pasarlo por alto fácilmente. Esta cadena registrada se utiliza más tarde en el registro y en la salida de utilidades, por ejemplo, `tuned-adm get_instances` u otros programas de terceros que utilizan la interfaz D-Bus de Tuned para tales operaciones.