CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2023-1386

Low
Published: Translated: NVD NIST

Summary

Wykryto lukę w implementacji systemu plików 9p passthrough (9pfs) w QEMU. Gdy lokalny użytkownik w gości zapisuje plik wykonywalny z ustawieniami SUID lub SGID, żadne z tych uprawnień nie są poprawnie usuwane.

Risk Assessment

W rzadkich okolicznościach luka ta może być wykorzystana przez złośliwych użytkowników w gości, co może prowadzić do nieautoryzowanego uzyskania uprawnień.

Recommendation

Zaleca się aktualizację QEMU do najnowszej wersji, aby usunąć tę lukę oraz monitorowanie dostępu do systemów wirtualnych.

Original NVD description (English source)

A flaw was found in the 9p passthrough filesystem (9pfs) implementation in QEMU. When a local user in the guest writes an executable file with SUID or SGID, none of these privileged bits are correctly dropped. As a result, in rare circumstances, this flaw could be used by malicious users in the gues

Vulnerability data from NVD (NIST) · CISA KEV · EPSS