低危 KDE Ark路径遍历漏洞

CVE编号

CVE-2020-16116

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-08-04
漏洞描述
KDE Ark是KDE社区的一款图形文件压缩/解压缩实用程序。 KDE Ark 20.08.0之前版本中的kerfuffle/jobs.cpp文件存在安全漏洞。攻击者可借助‘../’目录遍历序列利用该漏洞在提取目录之外安装文件。

解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://kde.org/info/security/advisory-20200730-1.txt
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 kde ark * Up to
(excluding)
20.08.0
运行在以下环境
系统 alpine_3.12 ark * Up to
(excluding)
20.04.2-r1
运行在以下环境
系统 alpine_3.13 ark * Up to
(excluding)
20.04.3-r1
运行在以下环境
系统 alpine_3.14 ark * Up to
(excluding)
20.04.3-r1
运行在以下环境
系统 alpine_3.15 ark * Up to
(excluding)
20.04.3-r1
运行在以下环境
系统 alpine_edge ark * Up to
(excluding)
20.04.3-r1
运行在以下环境
系统 debian_10 ark * Up to
(excluding)
4:18.08.3-1+deb10u1
运行在以下环境
系统 debian_9 ark * Up to
(excluding)
16.08.3-2
运行在以下环境
系统 fedora_31 ark * Up to
(excluding)
20.04.3-3.fc31
运行在以下环境
系统 fedora_32 ark * Up to
(excluding)
20.04.3-3.fc32
运行在以下环境
系统 fedora_EPEL_8 ark * Up to
(excluding)
19.12.2-2.el8
运行在以下环境
系统 opensuse_Leap_15.1 ark * Up to
(excluding)
18.12.3-lp151.2.4.1
运行在以下环境
系统 opensuse_Leap_15.2 ark * Up to
(excluding)
18.12.3-lp151.2.4.1
运行在以下环境
系统 ubuntu_18.04 ark * Up to
(excluding)
4:17.12.3-0ubuntu1.1
运行在以下环境
系统 ubuntu_20.04 ark * Up to
(excluding)
4:19.12.3-0ubuntu1.1
运行在以下环境
系统 unionos_20 ark * Up to
(excluding)
4:18.08.3.1-1+sercurity
阿里云评分
3.2
  • 攻击路径
    本地
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-22 对路径名的限制不恰当(路径遍历)
阿里云安全产品覆盖情况