Plasma Workspace
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
7.8
Макс. EPSS
0.02127
Распределение по критичности
Критический
0
Высокий
2
Средний
3
Низкий
2
Затронутые диапазоны версий
< 5.12.0< 5.27.11.1≤ 5.1≤ 5.4.3≤ 5.93.0
Также сопоставлено как (исходные строки): plasma workspace,plasma-workspace,kscreenlocker
Топ уязвимостей
CVE-2024-36041KSmserver в KDE Plasma Workspace (aka plasma-workspace) до версий 5.27.11.1 и 6.x до 6.0.5.1 разрешает подключения через ICE, основанные исключительно на хосте, т.е. все локальные подключения принимаются. Это позволяет другому пользователю на той же машине получить доступ к менеджеру сеансов, например, использовать функцию восстановления сеанса для выполнения произвольного кода от имени жертвы (при следующей загрузке) через более раннее использование каталога /tmp.
BDU:2025-00953Уязвимость графической среды рабочего стола Plasma Workspace связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
CVE-2018-6791Обнаружена проблема в soliduiserver/deviceserviceaction.cpp в KDE Plasma Workspace до версии 5.12.0. Когда vfat thumbdrive, содержащий `` или $() в метке тома, подключен и смонтирован через уведомление об устройстве, он интерпретируется как команда оболочки, что приводит к возможности произвольного выполнения команд. Примером недопустимой метки тома является "$(touch b)" -- это создаст файл с именем b в домашней папке.
CVE-2016-2312Отключение всех экранов в Plasma-workspace и kscreenlocker во время отображения экрана блокировки может привести к разблокировке экрана при повторном включении экрана.
CVE-2018-6790Обнаружена проблема в KDE Plasma Workspace до версии 5.12.0. dataengines/notifications/notificationsengine.cpp позволяет удаленным злоумышленникам обнаруживать IP-адреса клиентов через URL-адрес в уведомлении, как продемонстрировано атрибутом src элемента IMG.
CVE-2024-1433Обнаружена уязвимость, которая была классифицирована как проблемная, в KDE Plasma Workspace до 5.93.0. Это затрагивает функцию EventPluginsManager::enabledPlugins файла components/calendar/eventpluginsmanager.cpp компонента Theme File Handler. Манипуляция аргументом pluginId приводит к обходу пути. Можно инициировать атаку удаленно. Сложность атаки довольно высока. Сообщается, что эксплуатация затруднена. Патч называется 6cdf42916369ebf4ad5bd876c4dfa0170d7b2f01. Рекомендуется применить патч для устранения этой проблемы. Соответствующим идентификатором этой уязвимости является VDB-253407. ПРИМЕЧАНИЕ: Для этого требуется доступ на запись в домашний каталог пользователя или установка сторонних глобальных тем.
CVE-2015-1308kde-workspace 4.2.0 и plasma-workspace до версии 5.1.95 позволяют удаленным злоумышленникам получать входные события и, следовательно, получать пароли, используя доступ к X-серверу, когда экран заблокирован.
CVE-2015-1307plasma-workspace до версии 5.1.95 позволяет удаленным злоумышленникам получать пароли через троянский пакет Look and Feel.