Vulnerabilidad en Yggdrasil (CVE-2025-3931)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2025
Última modificación:
16/05/2025
Descripción
Se encontró una falla en Yggdrasil, que actúa como intermediario del sistema, permitiendo que los procesos se comuniquen con los procesos "worker" de otros subordinados a través del componente DBus. Yggdrasil crea un método DBus para enviar mensajes a los trabajadores. Sin embargo, omite las comprobaciones de autenticación y autorización, lo que permite que cualquier usuario del sistema lo invoque. Un trabajador de Yggdrasil disponible actúa como gestor de paquetes, con la capacidad de crear y habilitar nuevos repositorios e instalar o eliminar paquetes. Esta falla permite a un atacante con acceso al sistema aprovechar la falta de autenticación en el mensaje de envío para forzar al trabajador de Yggdrasil a instalar paquetes RPM arbitrarios. Este problema provoca una escalada de privilegios local, lo que permite al atacante acceder y modificar datos confidenciales del sistema.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA