GHSA-9mc5-7qhg-fp3w

Опубликовано: 11 мар. 2025

Источник: github

Github: Прошло ревью

CVSS3: 7.8

Описание

Below has Incorrect Permission Assignment for Critical Resource

Impact

A privilege escalation vulnerability existed in the Below service prior to v0.9.0 due to the creation of a world-writable directory at /var/log/below. This could have allowed local unprivileged users to escalate to root privileges through symlink attacks that manipulate files such as /etc/shadow.

Patches

https://github.com/facebookincubator/below/commit/10e73a21d67baa2cd613ee92ce999cda145e1a83

This is included in version 0.9.0

Workarounds

Change the permission on /var/log/below manually

References

https://www.facebook.com/security/advisories/cve-2025-27591 https://www.cve.org/CVERecord?id=CVE-2025-27591

Ссылки

Пакеты

Наименование

below

rust

Затронутые версииВерсия исправления

< 0.9.0

0.9.0

EPSS

Процентиль: 2%

0.00014

Низкий

7.8 High

CVSS3

CVE ID

CVE-2025-27591

Дефекты

CWE-732

Связанные уязвимости

CVE-2025-27591

CVSS3: 6.8

nvd

11 месяцев назад

BDU:2025-13248

CVSS3: 6.8

fstec

около 1 года назад

Уязвимость инструмента для записи и отображения системных данных Below, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 2%

0.00014

Низкий

7.8 High

CVSS3

CVE ID

CVE-2025-27591

Дефекты

CWE-732