Уязвимости в просмотрщике документов Xreader, развиваемом проектом Linux Mint

В программе для просмотра документов Xreader, развиваемой разработчиками дистрибутива Linux Mint, выявлены две уязвимости, которые могут привести к выполнению кода злоумышленника при открытии специально оформленных файлов в форматах EPUB и CBT. Уявзимости устранены в обновлениях Xreader 4.0.0, 3.8.5, 3.6.6, 3.2.3 и 2.6.5.

Уязвимости вызваны ошибками в коде для разбора форматов EPUB и CBT. В случае c EPUB проблема (CVE-2023-44451) связана с отсутствием должного экранирования спецсимволов («../») в параметрах, используемых при формировании файлового пути для распаковки содержимого в каталоге с временными файлами. В случае с CBT уязвимость (CVE-2023-44452) вызвана использованием неочищенных значений из файла в качестве аргументов при выполнении внешней команды intltool_merge при помощи функции system().

Источник: http://www.opennet.ru/opennews/art.shtml?num=60355