CVE-2024-36041:KDE Plasma 漏洞导致未经授权的系统访问

admin 2024年7月8日08:02:48评论12 views字数 659阅读2分11秒阅读模式

KDE 开发团队发布了一个严重的安全公告,警告用户注意一个高危漏洞CVE-2024-36041 ),该漏洞会影响 Plasma 桌面环境中的 KSmserver 组件。此漏洞可能允许同一台计算机上的未经授权的用户访问会话管理器,从而可能使他们能够在下次启动时执行任意代码。

CVE-2024-36041:KDE Plasma 漏洞导致未经授权的系统访问

图片:KDE

漏洞技术分析

该漏洞存在于 KSmserver(KDE 的 XSMP 管理器)处理通过 ICE 的连接的方式中。它错误地允许仅基于主机的连接,从而授予对所有本地连接的访问权限。同一系统上的恶意用户可以利用此漏洞劫持会话管理器并在受害用户重新登录时运行未经授权的代码。

KDE 开发团队向 Fabian Vogt 表示感谢,感谢他发现漏洞并为补丁的开发做出贡献。

受影响的版本和缓解措施

Plasma 6 和 Plasma 5 的用户都容易受到此漏洞的影响。为了解决 CVE-2024-36041 漏洞,KDE 发布了针对两个版本的更新和补丁:

  • Plasma 6:更新至 plasma-workspace 版本6.0.5.1或应用提供的补丁 [ 1 , 2 ]。

  • Plasma 5:更新至 plasma-workspace 版本5.27.11.1或应用提供的补丁 [ 1 , 2 ]。

此外,确保安装了“iceauth”二进制文件以实施正确的授权。

优先考虑您的安全 – 立即更新

KDE 敦促所有用户立即更新其 Plasma 安装,以保护自己免受潜在攻击。此漏洞被视为高危漏洞,因为它可能导致用户系统完全被攻陷。

原文始发于微信公众号(独眼情报):CVE-2024-36041:KDE Plasma 漏洞导致未经授权的系统访问

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日08:02:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-36041:KDE Plasma 漏洞导致未经授权的系统访问http://cn-sec.com/archives/2928549.html

发表评论

匿名网友 填写信息