Flatpak是在Linux上构建、分发和运行沙箱桌面应用程序的系统。在1.10.9、1.12.9、1.14.6和1.15.8之前的版本中,恶意或被篡改的Flatpak应用可以在其沙箱之外执行任意代码。通常,'flatpak run'命令的'--command'参数期望在指定的Flatpak应用程序中运行命令,可选地与一些参数一起。然而,也可以将'bwrap'参数传递给'--command=',例如'--bind'。从Flatpak应用程序内部将任意'commandline'传递给门户接口'org.freedesktop.portal.Background.RequestBackground'是可能的。当这转换为'--command'和参数时,它实现了直接传递参数给'bwrap'的效果,因此可用于沙箱逃逸。解决方案是将'--'参数传递给'bwrap',使其停止处理选项。自bubblewrap 0.3.0以来一直得到支持。所有支持的Flatpak版本都需要至少那个版本的bubblewrap。xdg-desktop-portal版本1.18.4将通过仅允许Flatpak应用程序为不以'--'开头的命令创建.desktop文件来减轻此漏洞。漏洞已在1.15.8、1.10.9、1.12.9和1.14.6中修补。
建议您更新当前系统或软件至最新版,完成漏洞的修复。