CraftOS-PC 2 未正确清理的路径导致文件系统逃逸(Windows)(CVE-2024-43395)

admin
admin
admin
0
文章
0
评论
2024-08-17 13:47:46 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
CraftOS-PC 2 未正确清理的路径导致文件系统逃逸(Windows)(CVE-2024-43395)

CVE编号

CVE-2024-43395

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-17
漏洞描述
CraftOS-PC 2 是使用 C++ 和修改版的 PUC Lua 以及 SDL 进行绘图,对流行的 Minecraft 模块 ComputerCraft 中的 CraftOS 桌面端口的重写。在 2.8.3 版本之前,Windows 上的 CraftOS-PC 2 用户可以通过混淆 `..` 来绕过禁止遍历父目录的内部检查,从而逃离计算机文件夹并访问任何位置的文件,无需任何权限或通知。但版本 2.8.3 针对这个问题进行了修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/MCJack123/craftos2/commit/f7a88b905560df4366fb69f09b70f05984e05ad3
https://github.com/MCJack123/craftos2/security/advisories/GHSA-hr3w-wc83-6923
CVSS3评分 8.2
  • 攻击路径 本地
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 已更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-42757利用情况 暂无补丁情况 N/A披露时间 2024-08-16漏洞描述Command injection vul
08-170 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0