![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
(no subject)
2026-05-22 18:16Походу решили и за Фрю взяться... Там вобще весь список хорош, но вот это - меня прям особенно вштырило. Настолько классическая классика...
--------
- CVE-2026-45255 () - в инсталляторе bsdinstall и конфигураторе bsdconfig отсутствовало экранирование () спецсимволов в shell-скрипте, показывающем пользователю список доступных для подключения беспроводных сетей, определённых в результате сканирования. Атакующий может создать подставную точку доступа и назначить специально оформленный идентификатор сети (SSID), содержащий выполняемые в shell конструкции (например, "test`id`"). При вызове пользователем функции поиска беспроводных сетей, подставленные атакующим shell-команды будут выполнены на системе пользователя с правами root (выбор или подключение к сети атакующего не требуется, достаточно просто инициировать сканирование сетей).
--------
--------
- CVE-2026-45255 () - в инсталляторе bsdinstall и конфигураторе bsdconfig отсутствовало экранирование () спецсимволов в shell-скрипте, показывающем пользователю список доступных для подключения беспроводных сетей, определённых в результате сканирования. Атакующий может создать подставную точку доступа и назначить специально оформленный идентификатор сети (SSID), содержащий выполняемые в shell конструкции (например, "test`id`"). При вызове пользователем функции поиска беспроводных сетей, подставленные атакующим shell-команды будут выполнены на системе пользователя с правами root (выбор или подключение к сети атакующего не требуется, достаточно просто инициировать сканирование сетей).
--------
