Sandboxie-Plus w wersjach 1.17.2 i wcześniejszych zawiera podatność typu INI injection (CWE-93), która pozwala zwykłemu lokalnemu użytkownikowi ominąć zabezpieczenia konfiguracyjne i wstrzyknąć dowolne dyrektywy do globalnego pliku konfiguracyjnego Sandboxie.ini. Jest to groźne, ponieważ umożliwia ucieczkę z sandboxa oraz eskalację uprawnień do poziomu SYSTEM.
▸ Pokaż oryginał (EN)
Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, an INI injection vulnerability allows any standard local user to bypass configuration restrictions (EditAdminOnly and ConfigPassword) and inject arbitrary directives into the global Sandboxie.ini configuration file. The background service skips authorization checks for IPC messages targeting sections beginning with UserSettings_, but does not sanitize CRLF characters in either the value parameter (via MSGID_SBIE_INI_ADD_SETTING) or the setting name parameter (via MSGID_SBIE_INI_SET_SETTING). An attacker can inject a new sandbox section header with unrestricted permissions, enabling sandbox escape and SYSTEM privilege escalation. This issue has been fixed in version 1.17.3.
Usługa działająca w tle (background service) pomija sprawdzanie autoryzacji dla wiadomości IPC kierowanych do sekcji o nazwach zaczynających się od 'UserSettings_'. Jednocześnie usługa ta nie filtruje znaków CRLF ani w parametrze wartości (via MSGID_SBIE_INI_ADD_SETTING), ani w parametrze nazwy ustawienia (via MSGID_SBIE_INI_SET_SETTING). Atakujący może wykorzystać te braki, aby wstrzyknąć nagłówek nowej sekcji sandboxa z nieograniczonymi uprawnieniami do pliku Sandboxie.ini, omijając tym samym zabezpieczenia EditAdminOnly oraz ConfigPassword. W rezultacie możliwa jest ucieczka z izolowanego środowiska sandboxa i uzyskanie uprawnień SYSTEM.
Atakujący posiadający standardowe konto lokalne może przejąć pełną kontrolę nad konfiguracją sandboxa, uciec z izolowanego środowiska oraz uzyskać uprawnienia SYSTEM na zaatakowanym systemie Windows.
Należy zaktualizować Sandboxie-Plus do wersji 1.17.3, w której podatność została naprawiona. Patch dostępny jest w oficjalnym repozytorium projektu na GitHub (https://github.com/sandboxie-plus/Sandboxie/releases/tag/v1.17.3).
Sandboxie-Plus w wersjach 1.17.2 i wcześniejszych działający na systemach Windows.
Podatność wymaga lokalnego dostępu do systemu (wektor AV:L), jednak niski próg uprawnień (PR:L — standardowe konto użytkownika) i brak wymagań dotyczących interakcji użytkownika (UI:N) czynią ją poważnym zagrożeniem w środowiskach wieloużytkownikowych. Poprawka została wydana w wersji 1.17.3.
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XSandboxie Plus Sandboxie
APPSandboxie-Plus< 1.17.3
Powiązane podatności
Sandboxie-Plus: heap overflow w SbieSvc.exe umożliwia RCE jako SYSTEM
Sandboxie: nieautoryzowany odczyt plików między użytkownikami (path traversal)
Sandboxie 5.26 allows a Sandbox Escape via an "import os" statement, followed by os.system("cmd") or os.system...
Sandboxie is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a lo...
Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier,...