CRITICAL🇬🇧 English

CVE-2026-34458

INI injection w Sandboxie-Plus umożliwia eskalację uprawnień do SYSTEM

CVSS 9.3v4.0pub. 2026-05-05upd. 2026-05-07

Sandboxie-Plus w wersjach 1.17.2 i wcześniejszych zawiera podatność typu INI injection (CWE-93), która pozwala zwykłemu lokalnemu użytkownikowi ominąć zabezpieczenia konfiguracyjne i wstrzyknąć dowolne dyrektywy do globalnego pliku konfiguracyjnego Sandboxie.ini. Jest to groźne, ponieważ umożliwia ucieczkę z sandboxa oraz eskalację uprawnień do poziomu SYSTEM.

Pokaż oryginał (EN)

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, an INI injection vulnerability allows any standard local user to bypass configuration restrictions (EditAdminOnly and ConfigPassword) and inject arbitrary directives into the global Sandboxie.ini configuration file. The background service skips authorization checks for IPC messages targeting sections beginning with UserSettings_, but does not sanitize CRLF characters in either the value parameter (via MSGID_SBIE_INI_ADD_SETTING) or the setting name parameter (via MSGID_SBIE_INI_SET_SETTING). An attacker can inject a new sandbox section header with unrestricted permissions, enabling sandbox escape and SYSTEM privilege escalation. This issue has been fixed in version 1.17.3.

🤖 Analiza AI
Jak działa

Usługa działająca w tle (background service) pomija sprawdzanie autoryzacji dla wiadomości IPC kierowanych do sekcji o nazwach zaczynających się od 'UserSettings_'. Jednocześnie usługa ta nie filtruje znaków CRLF ani w parametrze wartości (via MSGID_SBIE_INI_ADD_SETTING), ani w parametrze nazwy ustawienia (via MSGID_SBIE_INI_SET_SETTING). Atakujący może wykorzystać te braki, aby wstrzyknąć nagłówek nowej sekcji sandboxa z nieograniczonymi uprawnieniami do pliku Sandboxie.ini, omijając tym samym zabezpieczenia EditAdminOnly oraz ConfigPassword. W rezultacie możliwa jest ucieczka z izolowanego środowiska sandboxa i uzyskanie uprawnień SYSTEM.

Skutki

Atakujący posiadający standardowe konto lokalne może przejąć pełną kontrolę nad konfiguracją sandboxa, uciec z izolowanego środowiska oraz uzyskać uprawnienia SYSTEM na zaatakowanym systemie Windows.

Mitygacja

Należy zaktualizować Sandboxie-Plus do wersji 1.17.3, w której podatność została naprawiona. Patch dostępny jest w oficjalnym repozytorium projektu na GitHub (https://github.com/sandboxie-plus/Sandboxie/releases/tag/v1.17.3).

Kogo dotyczy

Sandboxie-Plus w wersjach 1.17.2 i wcześniejszych działający na systemach Windows.

Uwagi

Podatność wymaga lokalnego dostępu do systemu (wektor AV:L), jednak niski próg uprawnień (PR:L — standardowe konto użytkownika) i brak wymagań dotyczących interakcji użytkownika (UI:N) czynią ją poważnym zagrożeniem w środowiskach wieloużytkownikowych. Poprawka została wydana w wersji 1.17.3.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Sandboxie Plus Sandboxie

    APP
    Sandboxie-Plus
    < 1.17.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-64721CRITICAL9.9PL ✓ten sam produkt

Sandboxie-Plus: heap overflow w SbieSvc.exe umożliwia RCE jako SYSTEM

CVE-2024-49360CRITICAL9.2PL ✓ten sam produkt

Sandboxie: nieautoryzowany odczyt plików między użytkownikami (path traversal)

CVE-2018-18748CRITICAL10.0ten sam produkt

Sandboxie 5.26 allows a Sandbox Escape via an "import os" statement, followed by os.system("cmd") or os.system...

CVE-2026-32603HIGH8.2ten sam produkt

Sandboxie is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a lo...

CVE-2026-34459HIGH8.8ten sam produkt

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier,...

CVE-2026-34458 — INI injection w Sandboxie-Plus umożliwia eskalację uprawnień do SYSTEM — CRITICAL 9.3 | CVEbaza.pl