Vulnerabilidad en el demonio del sistema de archivos compartidos de QEMU virtio-fs (virtiofsd) (CVE-2022-0358)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

29/08/2022

Última modificación:

09/12/2022

Descripción

Se ha encontrado un fallo en la implementación del demonio del sistema de archivos compartidos de QEMU virtio-fs (virtiofsd). Este fallo está estrictamente relacionado con CVE-2018-13405. Un usuario invitado local puede crear archivos en los directorios compartidos por virtio-fs con propiedad de grupo no intencionada en un escenario en el que un directorio es SGID a un determinado grupo y es escribible por un usuario que no es miembro del grupo. Esto podría permitir a un usuario malicioso no privilegiado dentro del huésped conseguir acceso a recursos accesibles al grupo root, escalando potencialmente sus privilegios dentro del huésped. Un usuario local malicioso en el huésped también podría aprovechar este archivo ejecutable no esperado creado por el huésped para escalar sus privilegios en el sistema huésped

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto