Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04326

Опубликовано: 03 дек. 2024
Источник: fstec
CVSS3: 5
CVSS2: 3.6
EPSS Низкий

Описание

Уязвимость сценария libarchiveplugin.cpp графической утилиты для упаковки и распаковки файлов Ark среды рабочего стола KDE связана с обходом относительного пути. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
KDE

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Ark

Версия ПО

11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
до 24.12.0 (Ark)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Ark KDE:
https://github.com/KDE/ark/commit/fe518d81b338941e0bf1c5ce5e75a9ab6de4bb58
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-57966
Для ОС Astra Linux:
обновить пакет ark до 4:23.08.1-2astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для ОС Astra Linux:
обновить пакет ark до 4:22.12.3-1astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
обновить пакет ark до 4:22.12.3-1astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.0001
Низкий

5 Medium

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-57966

CVSS3: 5
ubuntu
около 1 года назад

libarchiveplugin.cpp in KDE ark before 24.12.0 can extract to an absolute path from an archive.

nvd логотип

CVE-2024-57966

CVSS3: 5
nvd
около 1 года назад

libarchiveplugin.cpp in KDE ark before 24.12.0 can extract to an absolute path from an archive.

debian логотип

CVE-2024-57966

CVSS3: 5
debian
около 1 года назад

libarchiveplugin.cpp in KDE ark before 24.12.0 can extract to an absol ...

suse-cvrf логотип

openSUSE-SU-2025:0090-1

suse-cvrf
11 месяцев назад

Security update for ark

github логотип

GHSA-v9cx-qp5g-qchc

CVSS3: 5
github
около 1 года назад

libarchiveplugin.cpp in KDE ark before 24.12.0 can extract to an absolute path from an archive.

EPSS

Процентиль: 1%
0.0001
Низкий

5 Medium

CVSS3

3.6 Low

CVSS2