CVE2023-4944
发布日期:2023年12月14日
BudgieExpress窗口打包小程序应用组件间传递的临时数据有可能被查看或操作数据存储位置面向本地访问系统的任何用户攻击者可预创并控制此文件向用户提供假信息或拒绝访问应用程序和面板
Ubuntu安全队
Matthias Gerstner发现Windowshuffler应用BudgieExpress使用可预测的临时文件路径世界可编辑攻击者可用它注入假信息、阅读信息或拒绝访问程序
注解
写者 | 注解 |
---|---|
0xnishit | CWE-377CWE-668 |
优先级
状态
包包化 | 发布 | 状态 |
---|---|---|
萌芽Extra 启动板,Ubuntu,德比安市 |
生物机 | 需求分类
|
中心点 | 需求分类
|
|
果酱 |
发布数(1.4.0-1ubuntu3.1) |
|
月圆 |
发布版数(1.6.0-1ubuntu0.1) |
|
语义化 |
发布数(1.7.0-3.0untu1) |
|
高贵 | 需求分类
|
|
可信度 | 忽略
结束标准支持 |
|
上游 | 需求分类
|
|
参赛者 | 忽略
结束标准支持 |
|
补丁 : 上游 :https://github.com/UbuntuBudgie/budgie-extras/commit/11b02011ad2f6d46485b292713af09f7314843a5 上游 :https://github.com/UbuntuBudgie/budgie-extras/commit/90deed96a23a999df38426c2a1a3134d40f73e0f |
重度分数分解
参数 | 值传 |
---|---|
基数评分 | 6.0 |
攻击向量 | 本地化 |
攻击复杂性 | 低频 |
特权需求 | 高位 |
用户交互 | 无 |
范围划分 | 未变换 |
保密性 | 无 |
完整性冲击 | 高位 |
可用性效果 | 高位 |
向量 | CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |