CVE-2023-493
发布日期:2023年12月14日
BudgieExces Droby小程序应用组件间传递的临时数据有可能被查看或操纵数据存储位置面向本地访问系统的任何用户攻击者可预创并控制此文件向用户提供假信息或拒绝访问应用程序和面板
Ubuntu安全队
发现BudgieExpress使用可预测的临时文件路径可世界编辑攻击者可用它注入假信息、阅读信息或拒绝访问程序
注解
| 写者 | 注解 |
|---|---|
| 0xnishit | CWE-668CWE-337 |
优先级
状态
| 包包化 | 发布 | 状态 |
|---|---|---|
| 萌芽Extra 启动板,Ubuntu,德比安市 |
生物机 | 需求分类
|
| 中心点 | 需求分类
|
|
| 果酱 |
发布数(1.4.0-1ubuntu3.1) |
|
| 月圆 |
发布版数(1.6.0-1ubuntu0.1) |
|
| 语义化 |
发布数(1.7.0-3.0untu1) |
|
| 高贵 | 需求分类
|
|
| 可信度 | 忽略
结束标准支持 |
|
| 上游 | 需求分类
|
|
| 参赛者 | 忽略
结束标准支持 |
|
| 补丁 : 上游 :https://github.com/UbuntuBudgie/budgie-extras/commit/e75c94af249191bdbd33eebf7a62d4234a0d8be5 上游 :https://github.com/UbuntuBudgie/budgie-extras/commit/fa3525c06b213ab83423d2256972de066e30a78d |
||
重度分数分解
| 参数 | 值传 |
|---|---|
| 基数评分 | 6.0 |
| 攻击向量 | 本地化 |
| 攻击复杂性 | 低频 |
| 特权需求 | 高位 |
| 用户交互 | 无 |
| 范围划分 | 未变换 |
| 保密性 | 无 |
| 完整性冲击 | 高位 |
| 可用性效果 | 高位 |
| 向量 | CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |