Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Flatpak, que permitirían a un atacante realizar ejecución de comandos arbitrarios en el sistema afectado. Flatpak es un sistema para crear, distribuir y ejecutar aplicaciones de escritorio en un ambiente aislado (sandbox) de Linux.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Critica” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2023-28100, de severidad “Crítica”, con una puntuación asignada de 10.0. Esta vulnerabilidad se debe a una falla de seguridad en el componente TIOCLINUX de Flatpak. Esto permitiría a un atacante remoto realizar ejecución de comandos arbitrarios a través de una consola virtual Linux en el sistema afectado.
- CVE-2023-28101, de severidad “Media”, con una puntuación asignada de 5.0. Esta vulnerabilidad se debe a una falla de lectura en los metadatos que contienen códigos de control ANSI de Flatpak. Esto permitiría a un atacante remoto autenticado a través de la creación de una aplicación Flatpak con permisos elevados, eludir las restricciones de seguridad y obtener acceso no autorizado al sistema afectado.
Las versiones afectadas son:
- Flatpak, versiones anteriores a 1.10.8, 1.12.8, 1.14.4 y 1.15.4.
Recomendamos acceder a los parches correspondientes proporcionados por el fabricante en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-28100-cve-2023-28101-two-security-vulnerabilities-in-flatpak/
- https://nvd.nist.gov/vuln/detail/CVE-2023-28100
- https://nvd.nist.gov/vuln/detail/CVE-2023-28101
- https://github.com/flatpak/flatpak/security/advisories/GHSA-7qpw-3vjv-xrqp
- https://github.com/flatpak/flatpak/security/advisories/GHSA-h43h-fwqx-mpp8
- https://github.com/flatpak/flatpak/releases?q=1.10.8&expanded=true