CVE-2025-5791

Опубликовано: 15 янв. 2025

Источник: redhat

CVSS3: 7.1

Описание

A flaw was found in the user's crate for Rust. This vulnerability allows privilege escalation via incorrect group listing when a user or process has fewer than exactly 1024 groups, leading to the erroneous inclusion of the root group in the access list.

Отчет

This vulnerability is rated as an important severity because a flaw in the users crate for Rust allows local privilege escalation. Specifically, when a user or process belongs to fewer than exactly 1024 groups, the crate’s group listing logic incorrectly includes the root group in the access list. This erroneous behavior enables unauthorized processes or users to gain elevated privileges, compromising system confidentiality and integrity.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 10	rust-ssh-key-dir	Will not fix
Red Hat Enterprise Linux 9	rust-afterburn	Will not fix
Red Hat OpenShift Container Platform 4	kata-containers	Not affected
Red Hat OpenShift Container Platform 4	rust-afterburn	Will not fix
Red Hat Trusted Profile Analyzer	rhtpa/rhtpa-trustification-service-rhel9	Affected
Red Hat OpenShift sandboxed containers 1.1	registry.redhat.io/openshift-sandboxed-containers/osc-rhel9-operator	Fixed	RHSA-2025:12359	31.07.2025

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-266

https://bugzilla.redhat.com/show_bug.cgi?id=2370001users: `root` appended to group listings

7.1 High

CVSS3

Связанные уязвимости

CVE-2025-5791

CVSS3: 7.1

ubuntu

5 месяцев назад

CVE-2025-5791

CVSS3: 7.1

nvd

5 месяцев назад

CVE-2025-5791

CVSS3: 7.1

msrc

3 месяца назад

Описание отсутствует

GHSA-m65q-v92h-cm7q

CVSS3: 7.1

github

5 месяцев назад

users may append `root` to group listings

BDU:2025-10734

CVSS3: 7.1

fstec

10 месяцев назад

Уязвимость языка программирования Rust, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии

7.1 High

CVSS3