Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Yggdrasil (CVE-2025-3931)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2025
Última modificación:
16/05/2025

Descripción

Se encontró una falla en Yggdrasil, que actúa como intermediario del sistema, permitiendo que los procesos se comuniquen con los procesos "worker" de otros subordinados a través del componente DBus. Yggdrasil crea un método DBus para enviar mensajes a los trabajadores. Sin embargo, omite las comprobaciones de autenticación y autorización, lo que permite que cualquier usuario del sistema lo invoque. Un trabajador de Yggdrasil disponible actúa como gestor de paquetes, con la capacidad de crear y habilitar nuevos repositorios e instalar o eliminar paquetes. Esta falla permite a un atacante con acceso al sistema aprovechar la falta de autenticación en el mensaje de envío para forzar al trabajador de Yggdrasil a instalar paquetes RPM arbitrarios. Este problema provoca una escalada de privilegios local, lo que permite al atacante acceder y modificar datos confidenciales del sistema.