CVE-2019-10220

CVSS 8 HIGHEPSS 5.1%CWE-22

Em resumo

A implementação CIFS do kernel Linux tem uma falha que permite que atacantes manipulem caminhos de diretórios, podendo acessar arquivos que não deveriam conseguir alcançar. Isso ocorre quando o sistema não valida adequadamente caminhos relativos em listagens de arquivos.

Detalhe técnico

Uma vulnerabilidade de travessia de diretório no cliente CIFS do kernel Linux (v4.9.0) falha em sanitizar adequadamente componentes de caminho relativo em listagens de entrada de diretório, permitindo que um atacante com acesso a um servidor CIFS malicioso atravesse a estrutura de diretórios e leia ou escreva arquivos arbitrários no sistema cliente.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Linux kernel CIFS implementation, version 4.9.0 is vulnerable to a relative paths injection in directory entry lists.

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Produtos afetados

SUSE · kernel:

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10220 https://lists.debian.org/debian-lts-announce/2020/01/msg00013.html https://lists.debian.org/debian-lts-announce/2020/03/msg00001.html https://security.netapp.com/advisory/ntap-20200103-0001/https://usn.ubuntu.com/4226-1/