漏洞详情: CVE-2021-3560

漏洞标题
NVD 暂无描述信息
来源:NVD
polkit 代码问题漏洞
来源:CNNVD
漏洞描述
It was found that polkit could be tricked into bypassing the credential checks for D-Bus requests, elevating the privileges of the requestor to the root user. This flaw could be used by an unprivileged local attacker to, for example, create a new local administrator. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
来源:NVD
polkit是一个在类 Unix操作系统中控制系统范围权限的组件。通过定义和审核权限规则,实现不同优先级进程间的通讯。 polkit 存在代码问题漏洞,该漏洞源于当请求进程在调用polkit_system_bus_name_get_creds_sync之前断开与dbus-daemon的连接时,该进程无法获得进程的唯一uid和pid,也无法验证请求进程的特权。
来源:CNNVD
我们发现polkit可能会被 trick 到绕过 D-Bus 请求的认证检查,将请求者权限提升为根用户。这个漏洞可能会被无特权的本地攻击者利用,例如创建新的本地管理员。从这个漏洞中遭受的最高威胁是数据保密性和完整性以及系统可用性。
来源:神龙机器人
漏洞评分(CVSS)
NVD 暂无评分
来源:NVD
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:神龙机器人, 准确率:N/A
漏洞类别
授权机制不正确
来源:NVD
代码问题
来源:CNNVD
情报信息
相关链接