Dina program ningali dokumén Xreader, anu dikembangkeun ku pamekar distribusi Linux Mint parantos ngaidéntifikasi dua kerentanan anu tiasa nyababkeun palaksanaan kode jahat nalika muka file EPUB sareng CBT anu didamel khusus. Kerentanan ieu parantos dibenerkeun dina apdet Xreader 4.0.0, 3.8.5, 3.6.6, 3.2.3, sareng 2.6.5.
The vulnerabilities disababkeun ku kasalahan dina kode pikeun parsing EPUB na format CBT. Dina kasus EPUB, masalahna (CVE-2023-44451) aya hubunganana sareng kurangna ngewa karakter khusus ("../") dina parameter anu dianggo nalika ngahasilkeun jalur file pikeun ngabongkar eusi dina diréktori kalayan samentawis. file. Dina kasus CBT, kerentanan (CVE-2023-44452) disababkeun ku panggunaan nilai atah tina file salaku argumen nalika ngalaksanakeun paréntah intltool_merge éksternal nganggo fungsi sistem ().
sumber: opennet.ru
