Vulnerabilidad en Flatpak (CVE-2022-21682)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

13/01/2022

Última modificación:

23/12/2023

Descripción

Flatpak es un marco de distribución y sandboxing de aplicaciones Linux. Una vulnerabilidad de salto de ruta afecta a las versiones de Flatpak anteriores a 1.12.3 y 1.10.6. flatpak-builder aplica "finish-args" en último lugar en la construcción. En este punto, el directorio de construcción tendrá el acceso completo que es especificado en el manifiesto, por lo que la ejecución de "flatpak build" contra él ganará esos permisos. Normalmente esto no se realiza, por lo que no es un problema. Sin embargo, si se especifica "--mirror-screenshots-url", entonces flatpak-builder lanzará "flatpak build --nofilesystem=host appstream-utils mirror-screenshots" tras la finalización, lo que puede conllevar a problemas incluso con la protección "--nofilesystem=host". En un uso normal, el único problema es que estos directorios vacíos pueden crearse en cualquier lugar donde el usuario tenga permisos de escritura. Sin embargo, una aplicación maliciosa podría reemplazar el binario "appstream-util" y potencialmente hacer algo más hostil. Esto ha sido resuelto en Flatpak versiones 1.12.3 y 1.10.6, al cambiar el comportamiento de "--nofilesystem=home" y "--nofilesystem=host"

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

4.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:flatpak:flatpak::::::::		1.10.7 (excluyendo)
cpe:2.3:a:flatpak:flatpak::::::::	1.11.1 (incluyendo)	1.12.4 (excluyendo)
cpe:2.3:a:flatpak:flatpak-builder::::::::		1.2.2 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:35:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:debian:debian_linux:9.0:::::::*
cpe:2.3:o:debian:debian_linux:10.0:::::::*
cpe:2.3:o:debian:debian_linux:11.0:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:flatpak:flatpak::::::::		1.10.7 (excluyendo)
cpe:2.3:a:flatpak:flatpak::::::::	1.11.1 (incluyendo)	1.12.4 (excluyendo)
cpe:2.3:a:flatpak:flatpak-builder::::::::		1.2.2 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:35:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:debian:debian_linux:9.0:::::::*
cpe:2.3:o:debian:debian_linux:10.0:::::::*
cpe:2.3:o:debian:debian_linux:11.0:::::::*

Vulnerabilidad en Flatpak (CVE-2022-21682)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información