CVE-2025-12744: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Descripción de la Vulnerabilidad CVE-2025-12744 es una vulnerabilidad de inyección de comandos del sistema operativo (OS Command Injection) encontrada en el demonio ABRT (Automatic Bug Reporting Tool). Detalles Técnicos El demonio ABRT copia hasta 12 caracteres de una entrada no confiable proporcionada por el usuario. Estos caracteres se insertan directamente en un comando shell: docker inspect %s sin la validación adecuada. Un usuario local sin privilegios puede crear un payload que inyecta metacaracteres shell. El proceso ABRT, que se ejecuta como root, ejecuta comandos controlados por el atacante. Esto permite la escalada de privilegios, otorgando al atacante privilegios completos de root. La vulnerabilidad no requiere interacción del usuario, pero sí acceso local. CVSS 3.1: 8.8 (Alto), reflejando un alto impacto en confidencialidad, integridad y disponibilidad, y una baja complejidad de explotación. La raíz del problema es el manejo inseguro de comandos shell y la falta de validación de entrada. Impacto Potencial ...