CVE-2023-49346
发布日期:2023年12月14日
BudgieExcesWeash 小程序应用组件间传递的临时数据有可能被查看或操纵数据存储位置面向本地访问系统的任何用户攻击者可预创并控制此文件向用户提供假信息或拒绝访问应用程序和面板
Ubuntu安全队
Matthias Gerstner发现Weash应用BudgieExpress使用可预测的临时文件路径世界可编辑攻击者可用它注入假信息、阅读信息或拒绝访问程序
注解
| 写者 | 注解 |
|---|---|
| 0xnishit | CWE-377CWE-668 |
优先级
状态
| 包包化 | 发布 | 状态 |
|---|---|---|
| 萌芽Extra 启动板,Ubuntu,德比安市 |
生物机 | 需求分类
|
| 中心点 | 需求分类
|
|
| 果酱 |
发布数(1.4.0-1ubuntu3.1) |
|
| 月圆 |
发布版数(1.6.0-1ubuntu0.1) |
|
| 语义化 |
发布数(1.7.0-3.0untu1) |
|
| 高贵 | 需求分类
|
|
| 可信度 | 忽略
结束标准支持 |
|
| 上游 | 需求分类
|
|
| 参赛者 | 忽略
结束标准支持 |
|
| 补丁 : 上游 :https://github.com/UbuntuBudgie/budgie-extras/commit/0092025ef25b48c287a75946c0ee797d3c142760 上游 :https://github.com/UbuntuBudgie/budgie-extras/commit/a114cda42674de9866ff1f34991550657149b2e7 |
||
重度分数分解
| 参数 | 值传 |
|---|---|
| 基数评分 | 6.0 |
| 攻击向量 | 本地化 |
| 攻击复杂性 | 低频 |
| 特权需求 | 高位 |
| 用户交互 | 无 |
| 范围划分 | 未变换 |
| 保密性 | 无 |
| 完整性冲击 | 高位 |
| 可用性效果 | 高位 |
| 向量 | CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |