Linux Mint 프로젝트에서 개발된 Xreader 문서 뷰어의 취약점

Linux Mint 배포판 개발자가 개발한 Xreader 문서 뷰어에서 두 가지 취약점이 발견되었습니다. 이 취약점은 특수하게 포맷된 EPUB 및 CBT 파일을 열 때 악성 코드 실행으로 이어질 수 있습니다. 이 취약점은 Xreader 4.0.0, 3.8.5, 3.6.6, 3.2.3 및 2.6.5 업데이트에서 수정되었습니다.

이 취약점은 EPUB 및 CBT 형식을 구문 분석하는 코드의 오류로 인해 발생합니다. EPUB의 경우, 이 문제(CVE-2023-44451)는 임시 파일이 포함된 디렉터리의 내용을 압축 해제하기 위한 파일 경로를 구성하는 매개변수에서 특수 문자("../")를 제대로 이스케이프 처리하지 못하는 것과 관련이 있습니다. CBT의 경우, 이 취약점(CVE-2023-44452)은 system() 함수를 사용하여 외부 intltool_merge 명령을 실행할 때 파일의 정리되지 않은 값을 인수로 사용하는 것과 관련이 있습니다.

출처 : opennet.ru