Уязвимости в просмотрщике документов Xreader, развиваемом проектом Linux Mint
Дата публикации:Wed, 27 Dec 2023 11:10:24 +0300
В программе для просмотра документов Xreader, развиваемой разработчиками дистрибутива Linux Mint, выявлены две уязвимости, которые могут привести к выполнению кода злоумышленника при открытии специально оформленных файлов в форматах EPUB и CBT. Уявзимости устранены в обновлениях Xreader 4.0.0, 3.8.5, 3.6.6, 3.2.3 и 2.6.5.
Уязвимости вызваны ошибками в коде для разбора форматов EPUB и CBT. В случае c EPUB проблема (CVE-2023-44451) связана с отсутствием должного экранирования спецсимволов ("../") в параметрах, используемых при формировании файлового пути для распаковки содержимого в каталоге с временными файлами. В случае с CBT уязвимость (CVE-2023-44452) вызвана использованием неочищенных значений из файла в качестве аргументов при выполнении внешней команды intltool_merge при помощи функции system().
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=60355