Gvfs
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
7
Макс. EPSS
0.0184
Распределение по критичности
Критический
0
Высокий
1
Средний
6
Низкий
0
Также сопоставлено как (исходные строки): gvfs
Топ уязвимостей
CVE-2019-3827Обнаружена неправильная проверка разрешений в серверной части администрирования в gvfs до версии 1.39.4, которая позволяет читать и изменять произвольные файлы привилегированным пользователям без запроса пароля, когда агент проверки подлинности не запущен. Эта уязвимость может быть использована вредоносными программами, работающими с привилегиями пользователей, принадлежащих к группе wheel, для дальнейшего повышения своих привилегий путем изменения системных файлов без ведома пользователя. Для успешной эксплуатации требуется необычная конфигурация системы.
CVE-2019-12448В GNOME gvfs версий 1.29.4 - 1.41.2 обнаружена проблема. daemon/gvfsbackendadmin.c имеет состояние гонки, поскольку серверная часть администратора не реализует query_info_on_read/write.
CVE-2019-12447В GNOME gvfs версий 1.29.4 - 1.41.2 обнаружена проблема. daemon/gvfsbackendadmin.c неправильно обрабатывает права собственности на файлы, поскольку не используется setfsuid.
CVE-2019-12449В GNOME gvfs версий 1.29.4 - 1.41.2 обнаружена проблема. daemon/gvfsbackendadmin.c неправильно обрабатывает права собственности пользователя и группы на файл во время операций перемещения (и копирования с G_FILE_COPY_ALL_METADATA) из admin:// в file:// URI, поскольку привилегии root недоступны.
CVE-2019-12795daemon/gvfsdaemon.c в gvfsd из GNOME gvfs до версии 1.38.3, 1.40.x до версии 1.40.2 и 1.41.x до версии 1.41.3 открыл частный серверный сокет D-Bus без настройки правила авторизации. Локальный злоумышленник мог подключиться к этому серверному сокету и выдать вызовы методов D-Bus. (Обратите внимание, что серверный сокет принимает только одно соединение, поэтому злоумышленнику придется обнаружить сервер и подключиться к сокету до того, как это сделает его владелец.)
CVE-2026-28296Недостаток был обнаружен в бэкэнде FTP GVfs. Удаленный злоумышленник может использовать эту уязвимость входной валидации, предоставляя специально созданные пути файлов, содержащие последовательности возврата и линейной подачи (CRLF). Эти несанитированные последовательности позволяют злоумышленнику заканчивать предполагаемые FTP-команды и вводить произвольные FTP-команды, что может привести к произвольному исполнению кода или другим серьезным воздействиям.
CVE-2026-28295Недостаток был обнаружен в бэкэнде FTP GVfs. Вредоносный FTP-сервер может использовать эту уязвимость, предоставляя произвольный IP-адрес и порт в своем пассивном режиме (PASV). Клиент безоговорочно доверяет этой информации и пытается подключиться к заданной конечной точке, позволяя вредоносному серверу зондировать открытые порты, доступные из сети клиента.