支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2021-3560 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Polkit存在一个漏洞,可能导致绕过D-Bus请求的凭据检查,提升请求者的权限到root用户。这可能使未授权的本地攻击者创建新的本地管理员账户。

## 影响版本
无具体版本信息

## 漏洞细节
攻击者可以通过绕过polkit的凭据检查机制,提升其权限至root级别。这种提升权限的能力可以允许攻击者执行如创建新的本地管理员账户等高危操作。

## 漏洞影响
此漏洞的最大威胁在于数据的保密性和完整性以及系统的可用性。攻击者能够利用此漏洞进行未经授权的特权操作,并可能对系统造成严重破坏。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
It was found that polkit could be tricked into bypassing the credential checks for D-Bus requests, elevating the privileges of the requestor to the root user. This flaw could be used by an unprivileged local attacker to, for example, create a new local administrator. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
polkit 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
polkit是一个在类 Unix操作系统中控制系统范围权限的组件。通过定义和审核权限规则,实现不同优先级进程间的通讯。 polkit 存在代码问题漏洞,该漏洞源于当请求进程在调用polkit_system_bus_name_get_creds_sync之前断开与dbus-daemon的连接时,该进程无法获得进程的唯一uid和pid,也无法验证请求进程的特权。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-3560 的公开POC
#POC 描述源链接神龙链接
1Automatic Explotation PoC for Polkit CVE-2021-3560https://github.com/aancw/polkit-auto-exploitPOC详情
2CVE-2021-3560 Local PrivEsc Exploithttps://github.com/swapravo/polkadotsPOC详情
3a reliable C based exploit and writeup for CVE-2021-3560.https://github.com/hakivvi/CVE-2021-3560POC详情
4polkit exploit script v1.0https://github.com/iSTAR-Lab/CVE-2021-3560_PoCPOC详情
5Nonehttps://github.com/secnigma/CVE-2021-3560-Polkit-Privilege-EsclationPOC详情
6Polkit - Local Privilege Escalation (CVE-2021-3560)https://github.com/curtishoughton/CVE-2021-3560POC详情
7Privilege escalation with polkit - CVE-2021-3560https://github.com/Almorabea/Polkit-exploitPOC详情
8Nonehttps://github.com/AssassinUKG/Polkit-CVE-2021-3560POC详情
9ubuntu new PrivEsc race condition vulnerabilityhttps://github.com/cpu0x00/CVE-2021-3560POC详情
10NYCY_homework_&_meetinghttps://github.com/BizarreLove/CVE-2021-3560POC详情
11Polkit D-Bus Authentication Bypass Exploithttps://github.com/0dayNinja/CVE-2021-3560POC详情
12CVE-2021-3560 (Polkit - Local Privilege Escalation)https://github.com/TomMalvoRiddle/CVE-2021-3560POC详情
13CVE-2021-3560 analysishttps://github.com/chenaotian/CVE-2021-3560POC详情
14Polkit Exploit (CVE-2021-3560), no download capabilty? Copy and paste it!https://github.com/n3onhacks/CVE-2021-3560POC详情
15f4T1H's PoC script for CVE-2021-3560 Polkit D-Bus Privilege Escalationhttps://github.com/f4T1H21/CVE-2021-3560-Polkit-DBusPOC详情
16Nonehttps://github.com/innxrmxst/CVE-2021-3560POC详情
17PolicyKit CVE-2021-3560 Exploit (Authentication Agent)https://github.com/RicterZ/CVE-2021-3560-Authentication-AgentPOC详情
18PolicyKit CVE-2021-3560 Exploitation (Authentication Agent)https://github.com/WinMin/CVE-2021-3560POC详情
19Exploit for CVE-2021-3560 (Polkit) - Local Privilege Escalationhttps://github.com/UNICORDev/exploit-CVE-2021-3560POC详情
20Nonehttps://github.com/asepsaepdin/CVE-2021-3560POC详情
21Polkit 0.105-26 0.117-2 - Local Privilege Escalationhttps://github.com/pashayogi/ROOT-CVE-2021-3560POC详情
22CVE-2021-3560 Bypass su - roothttps://github.com/TieuLong21Prosper/CVE-2021-3560POC详情
23Exploitation of the CVE-2021-3560 polkit vulnerabilityhttps://github.com/LucasPDiniz/CVE-2021-3560POC详情
24Nonehttps://github.com/markyu0401/CVE-2021-3560-Polkit-Privilege-EscalationPOC详情
25Part of my cybersecurity thesis consists in exploring and exploiting this vulnerability.https://github.com/Kyyomaa/CVE-2021-3560-EXPLOITPOC详情
26Polkit Exploit (CVE-2021-3560), no download capabilty? Copy and paste it!https://github.com/NeonWhiteRabbit/CVE-2021-3560POC详情
27CVE-2021-3560 (Polkit - Local Privilege Escalation)https://github.com/admin-079/CVE-2021-3560POC详情
28Exploitation Script for CVE-2021-3560https://github.com/arcslash/exploit_CVE-2021-3560POC详情
29This is an exercise built around CVE-2021-3560https://github.com/titusG85/SideWinder-ExploitPOC详情
30Nonehttps://github.com/MandipJoshi/CVE-2021-3560POC详情
31Script Bash -- CVE-2021-3560https://github.com/Antoine-MANTIS/POC-Bash-CVE-2021-3560POC详情
32Exploit for CVE-2021-3560 Polkit Local Privilege Escalation Vulnerabilityhttps://github.com/SeimuPVE/CVE-2021-3560_PolkitPOC详情
33polkit privilege escalationhttps://github.com/m4lk3rnel/CVE-2021-3560POC详情
34beginner friendly write-up for the TryHackMe easy level module- polkit:CVE-2021-3560https://github.com/realatharva15/polkit-CVE-2021-3560_writeupPOC详情
三、漏洞 CVE-2021-3560 的情报信息

  • 标题: Packet Storm -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

#### 网页背景信息
- **网站**: Packet Storm
- **内容**: 使用条款和服务条款页面
- **更新日期**: 2025年9月12日

#### 潜在漏洞关注点

1. **自动化访问限制**
    - 条款明确禁止通过自动化手段(如bot、脚本等)访问网站。
    
2. **用户生成内容的知识产权**
    - 用户同意授予Packet Storm对用户生成内容的非独占、不可撤销、永久、全球范围内的权利和许可。
    
3. **责任限制**
    - Packet Storm不对因使用网站或服务而导致的任何直接、间接、附带、特殊或惩罚性损害负责。
    
4. **数据保护与隐私**
    - 未见具体的数据保护措施,仅提及遵守网站隐私政策。
    
5. **用户注册信息**
    - 注册信息需真实、准确、完整,并且用户需维护其准确性。
    - 未提及具体的保护措施或加密方案。
    
6. **API访问**
    - API访问有限制,包括使用限制、数据使用限制和终止访问条款。
    - 未提及API安全性或数据传输加密措施。
    
#### 总结
该截图显示了Packet Storm的使用条款,重点关注自动化访问限制、用户生成内容的知识产权、责任限制和API访问条款。但是,关于数据保护、隐私保护和API安全的具体措施未明确提及,存在潜在的漏洞风险。
    Packet Storm
  • http://packetstormsecurity.com/files/172836/polkit-Authentication-Bypass.html
  • https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
  • https://bugzilla.redhat.com/show_bug.cgi?id=1961710
  • https://nvd.nist.gov/vuln/detail/CVE-2021-3560
四、漏洞 CVE-2021-3560 的评论

暂无评论

发表评论