CVE-2026-54231
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W skryptach obsługi zdarzeń po utworzeniu raportu w bibliotece libreport wykryto podatność na wstrzykiwanie treści. Skrypt odczytuje dziennik systemd w poszukiwaniu wpisów pasujących do procesu, który uległ awarii, i zapisuje wyniki do plików w katalogu zrzutu bez oczyszczania osadzonych znaków sterujących. Lokalny użytkownik może wstrzyknąć dowolną treść do wyjścia dziennika, osadzając znaki nowej linii w komunikatach syslog, kontrolując w ten sposób treść, którą root zapisuje do plików w katalogu zrzutu.
Ocena ryzyka
Ryzyko polega na tym, że lokalny użytkownik bez uprawnień może manipulować zawartością plików zapisywanych przez roota, co może prowadzić do eskalacji uprawnień, ukrycia śladów ataku lub wprowadzenia w błąd narzędzi analitycznych.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę libreport do wersji, która zawiera poprawkę usuwającą lub neutralizującą znaki sterujące przed zapisem do plików zrzutu. Do czasu aktualizacji warto ograniczyć dostęp lokalnych użytkowników do systemu lub wyłączyć skrypty obsługi zdarzeń post-create.
Oryginalny opis (angielski, źródło NVD)
A content injection vulnerability was found in the ABRT post-create event handler scripts in libreport. The event script queries the systemd journal for log entries matching the crashed process and writes the results to files in the dump directory without sanitizing embedded control characters. A local user can inject arbitrary content into the journal output by embedding newline characters in syslog messages, controlling the content that root writes to dump directory files.

