CVE-2024-33871

ALT (8,8)

CVSS3: 7,7

Artifex Ghostscript podria permetre que un atacant remot obtingués privilegis elevats al sistema. El paràmetre “Controlador” per al dispositiu “opvp/”oprp” especifica el nom d’una biblioteca dinàmica i permet carregar qualsevol biblioteca. En enviar un document especialment dissenyat, un atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari amb els privilegis del procés Ghostscript al sistema.

Sistemes Afectats

• Artifex Ghostscript 10.01.0

Remediació
Actualitzeu a la darrera versió d’Artifex Ghostscript (10.03.01 o posterior), disponible al lloc web d’Artifex. Vegeu-ne les Referències.

Referències

• Artifex
• Debian Security Advisory 5692-1
• Ghostscript 10.03.1 (2024-05-02) fixed 5 CVEs including CVE-2024-33871 arbitrary code execution
• Debian Security Advisory 5692-1
• (CVE-2024-33871) – CVE-2024-33871 ghostscript: OPVP device arbitrary code execution via custom Driver library