X File Explorer 'FilePanel::onCmdNewFile'函数访问绕过漏洞

CVE编号

CVE-2014-2079

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-07-17

漏洞描述

X File Explorer (Xfe)是X窗口下的文件管理器程序。 当在Samba或NFS共享上通过X File Explorer创建新文件时，用户的MASK会用于权限设置而非由Samba或NFS配置来指定，可导致受限文件被任意用户访问。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=739536

参考链接
http://www.openwall.com/lists/oss-security/2014/02/24/5
http://www.securityfocus.com/bid/65748
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=739536
https://bugzilla.redhat.com/show_bug.cgi?id=1069066
https://exchange.xforce.ibmcloud.com/vulnerabilities/91519

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	x_file_explorer_project	x_file_explorer	1.32.5	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1.37-2
	运行在以下环境
	系统	ubuntu_16.04_lts	xfe	*		Up to (excluding) 1.37-2
	运行在以下环境
	系统	ubuntu_18.04_lts	xfe	*		Up to (excluding) 1.37-2
	运行在以下环境
	系统	ubuntu_18.10	xfe	*		Up to (excluding) 1.37-2
查看完整数据

阿里云评分 2.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制