Se ha reportado una vulnerabilidad del tipo ejecución de código ocasionado por un escape de comando de la sandbox en Flatpak identificada como CVE-2024-32462 con una puntuación CVSSv3 de 8.4 severidad alta.
Productos afectados:
Versiones anteriores a 1.10.9, 1.12.9, 1.14.6 y 1.15.8 de Flatpak.
Impacto:
Normalmente, el argumento `–command` de `flatpak run` espera recibir un comando para ejecutar en la aplicación Flatpak especificada, opcionalmente junto con algunos argumentos. Sin embargo, es posible en su lugar pasar argumentos `bwrap` a `–command=`, como `–bind`. Haciendo posible pasar una `commandline` arbitraria a la interfaz del portal `org.freedesktop.portal.Background.RequestBackground` desde dentro de una aplicación Flatpak. Cuando esto se convierte en un `–command` con argumentos, logra el mismo efecto de pasar argumentos directamente a `bwrap`, y por lo tanto se puede utilizar para escapar del sandbox. La solución es pasar el argumento `–` a `bwrap`, lo que hace que deje de procesar opciones.
Esto se debe a la capacidad de pasar argumentos de «bwrap» al argumento «–command=» de «flatpak run», lo que permitía un escape de sandbox. Este fallo podria permitir a aplicaciones Flatpak ejecutar código arbitrario fuera de su sandbox.
Recomendación:
Se recomienda a usuarios y administradores de sistemas actualizar a la versión parcheada de Flatpak (1.15.8, 1.10.9, 1.12.9, o 1.14.6) para mitigar esta vulnerabilidad. Además como solución alternativa, la versión 1.18.4 de xdg-desktop-portal también mitiga esta vulnerabilidad al restringir la creación de archivos .desktop para comandos que no comiencen con «–«.
Referencia: