CRITICAL🇬🇧 English

CVE-2024-58250

Nieprawidłowa obsługa uprawnień w pluginie passprompt pppd (ppp < 2.5.2)

CVSS 9.3v3.1pub. 2025-04-22upd. 2026-04-15

Podatność w pluginie passprompt demona pppd w pakiecie ppp przed wersją 2.5.2 polega na nieprawidłowej obsłudze uprawnień (CWE-426 — untrusted search path). Jest to krytyczna luka, ponieważ może umożliwić nieuprzywilejowanemu atakującemu eskalację uprawnień z wpływem na poufność, integralność i dostępność systemu.

Pokaż oryginał (EN)

The passprompt plugin in pppd in ppp before 2.5.2 mishandles privileges.

🤖 Analiza AI
Jak działa

Plugin passprompt, ładowany przez proces pppd, nie obsługuje prawidłowo kontekstu uprawnień — sklasyfikowano to jako CWE-426 (Untrusted Search Path), co oznacza możliwość podstawienia niezaufanego komponentu lub biblioteki w toku działania procesu z podwyższonymi uprawnieniami. Wektor CVSS wskazuje na lokalny dostęp (AV:L), brak wymaganej interakcji użytkownika (UI:N) oraz brak wymaganych uprawnień po stronie atakującego (PR:N), a zakres ataku wykracza poza zaatakowany komponent (S:C).

Skutki

Atakujący z dostępem lokalnym do systemu może uzyskać nieautoryzowaną eskalację uprawnień, potencjalnie przejmując pełną kontrolę nad systemem — z pełnym wpływem na poufność, integralność i dostępność danych.

Mitygacja

Należy zaktualizować pakiet ppp do wersji 2.5.2 lub nowszej. Patch dostępny jest w repozytorium projektu (commit 0a66ad22e54c72690ec2a29a019767c55c5281fc). Zalecane jest również śledzenie aktualizacji dystrybucyjnych dla pakietu ppp.

Kogo dotyczy

Pakiet ppp w wersjach przed 2.5.2 — dotyczy systemów korzystających z demona pppd z pluginem passprompt.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje