В Ubuntu версия Subiquity 24.04.4 могла привести к утечке конфиденциальных учетных данных пользователя во время отчетов о сбоях. В случае сбоя установки, если пользователь отправил отчет об ошибке на Launchpad, Subiquity может включить определенные учетные данные пользователя, такие как текстовый пароль пользователя Wi-Fi, в прикрепленные журналы.
Показать оригинальное описание (EN)
In Ubuntu, Subiquity version 24.04.4 could leak sensitive user credentials during crash reporting. Upon installation failure, if a user submitted a bug report to Launchpad, Subiquity could include certain user credentials, such as the user's plaintext Wi-Fi password, in the attached logs.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Canonical Ubuntu_Subiquity
cpe:2.3:a:canonical:ubuntu_subiquity:24.04.4:*:*:*:*:*:*:*
|
— | — |