HIGH✓ PATCH🇬🇧 English

CVE-2017-16544

CVSS 8.8v3.1pub. 2017-11-20upd. 2026-05-13

In the add_match function in libbb/lineedit.c in BusyBox through 1.27.2, the tab autocomplete feature of the shell, used to get a list of filenames in a directory, does not sanitize filenames and results in executing any escape sequence in the terminal. This could potentially result in code execution, arbitrary file writes, or other attacks.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Busybox

    APP
    Busybox
    ≤ 1.27.2
  • Canonical Ubuntu

    OS
    Canonical
    14.0416.04
  • Debian

    OS
    Debian
    8.09.0
  • Redlion N Tron 702m12 W

    HW
    Redlion
    wszystkie wersje
  • Redlion N Tron 702m12 W Firmware

    OS
    Redlion
    wszystkie wersje
  • Redlion N Tron 702 W

    HW
    Redlion
    wszystkie wersje
  • Redlion N Tron 702 W Firmware

    OS
    Redlion
    wszystkie wersje
  • VMware ESXi

    OS
    Vmware
    6.06.56.7
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki