Dostupno je korektivno ažuriranje kompleta alata za kreiranje samostalnih paketa Flatpak 1.10.2, koje eliminiše ranjivost (CVE-2021-21381) koja omogućava autoru paketa sa aplikacijom da zaobiđe režim izolacije sandbox-a i dobije pristup datoteke na glavnom sistemu. Problem se pojavljuje od izdanja 0.9.4.
Ranjivost je uzrokovana greškom u implementaciji funkcije prosljeđivanja datoteka, koja omogućava, kroz manipulaciju .desktop datotekom, pristup resursima u vanjskom sistemu datoteka kojima je zabranjeno pristupiti pokrenutoj aplikaciji. Prilikom dodavanja datoteka sa oznakama "@@" i "@@u" u Exec polje, flatpak će pretpostaviti da su navedene ciljne datoteke eksplicitno specificirane od strane korisnika i automatski će pristupiti ovim datotekama u sandbox. Ovu ranjivost mogu koristiti autori zlonamjernih paketa za organiziranje pristupa vanjskim datotekama, uprkos izgledu da radi u izolovanom modu.
izvor: opennet.ru