CVE-2026-41048
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
W qSnapper przed wersją 1.3.3 wykryto nieprawidłowe buforowanie uwierzytelniania między różnymi metodami polkit. Lokalny atakujący mógł wykorzystać funkcje takie jak 'przywróć z migawki', nawet jeśli miał tylko uprawnienia do 'usuń migawkę'.
Ocena ryzyka
Ryzyko polega na eskalacji uprawnień lokalnego użytkownika, który może wykonać nieautoryzowane operacje przywracania systemu, potencjalnie prowadząc do utraty danych lub naruszenia integralności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację qSnapper do wersji 1.3.3 lub nowszej, która usuwa tę podatność. Należy również przejrzeć konfigurację polkit, aby upewnić się, że uprawnienia są prawidłowo rozdzielone.
Oryginalny opis (angielski, źródło NVD)
Incorrect caching of authentication between different polkit methods in qSnapper before version 1.3.3 allowed a local attacker to use functions like "restore from snapshot" even if only allowed to do "delete snapshot".

