漏洞标题
N/A
漏洞描述信息
"man-db 2.3.12 和 2.3.18 到 2.4.1 使用某些由用户控制的DEFINE指令从 ~/.manpath 文件,即使在运行 setuid 时也是如此,这可能导致本地用户获得权限。"
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
man-db 2.3.12 and 2.3.18 to 2.4.1 uses certain user-controlled DEFINE directives from the ~/.manpath file, even when running setuid, which could allow local users to gain privileges.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Man-db DEFINE任意命令执行漏洞
漏洞描述信息
man是多种系统下查看帮助手册的工具。man-db在Debian系统中提供标准man(1)命令。 man-db不正确处理'~/.manpath'文件中的DEFINE指示,本地攻击者可以利用这个漏洞以man用户权限在系统上执行任意命令。 在'~/.manpath'文件中,部分DEFINE指示包含要执行的命令,因此攻击者可以修改此命令指示,以man用户权限在系统上执行任意命令。默认情况下不以'man'属性安装,但是安装man-db时会提示是否要以'man'属性安装。
CVSS信息
N/A
漏洞类别
授权问题