Platform
linux
Component
securedrop-client
Opgelost in
0.17.6
SecureDrop Client is een desktop applicatie voor journalisten om veilig te communiceren met bronnen en inzendingen te beheren op de SecureDrop Workstation. Deze kwetsbaarheid stelt een gecompromitteerde SecureDrop Server in staat om code uit te voeren op de virtuele machine (sd-app) van de Client door middel van onjuiste bestandsnaamvalidatie bij het uitpakken van gzip archieven. De kwetsbaarheid treft versies 0.17.4 en lager van SecureDrop Client. Een patch is beschikbaar in versie 0.17.5.
CVE-2026-35465 in SecureDrop Client stelt een gecompromitteerde SecureDrop Server in staat om code uit te voeren op de virtuele machine van de Client (sd-app). Dit komt door een onjuiste validatie van bestandsnamen tijdens het extraheren van gzip-archieven, waardoor absolute paden toegestaan worden en het overschrijven van kritieke bestanden zoals de SQLite-database mogelijk is. Exploitatie vereist een eerdere compromittatie van de dedicated SecureDrop Server, maar vormt een aanzienlijk risico voor journalisten en bronnen die vertrouwen op SecureDrop voor veilige communicatie. De mogelijkheid om de database te overschrijven kan leiden tot datalekken, manipulatie of een volledige systeemcompromittatie.
Het exploiteren van CVE-2026-35465 vereist dat de aanvaller al toegang en controle heeft over de SecureDrop Server. Zodra de server gecompromitteerd is, kan de aanvaller een kwaadaardig gzip-bestand maken dat absolute paden bevat die verwijzen naar bestanden binnen de virtuele machine van de client. Bij het verzenden van dit bestand via SecureDrop zal de client het extraheren en de gespecificeerde bestanden overschrijven. Het overschrijven van de SQLite-database kan de aanvaller in staat stellen om toegang te krijgen tot vertrouwelijke informatie, gegevens te manipuleren of zelfs de volledige controle over het systeem te krijgen. Dit benadrukt het belang van het beveiligen van zowel de client als de server.
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-35465 is het updaten van SecureDrop Client naar versie 0.17.5 of hoger. Deze versie corrigeert de validatie van bestandsnamen, waardoor de opname van absolute paden wordt voorkomen en het overschrijven van kritieke bestanden wordt vermeden. Alle SecureDrop Client-gebruikers worden ten zeerste aangeraden om zo snel mogelijk te updaten naar de nieuwste versie. Bovendien is het cruciaal om de veiligheid van de SecureDrop Server te handhaven, inclusief het monitoren op verdachte activiteiten. Het implementeren van aanvullende beveiligingsmaatregelen op de server, zoals toegangsbeperkingen en beveiligingspatches, kan het risico op exploitatie aanzienlijk verminderen.
Actualice a la versión 0.17.5 o posterior del SecureDrop Client para corregir la vulnerabilidad de inyección de ruta. Esta actualización implementa una validación más robusta de los nombres de archivo durante la extracción de archivos gzip, previniendo la sobrescritura de archivos críticos como la base de datos SQLite.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SecureDrop Client is een desktopapplicatie die door journalisten wordt gebruikt om veilig te communiceren met bronnen en inzendingen te ontvangen op een SecureDrop Workstation.
De virtuele machine sd-app is een geïsoleerde omgeving binnen het SecureDrop Client-systeem waar de applicatie draait. Deze scheiding helpt het hoofd systeem te beschermen tegen potentiële aanvallen.
De update wordt uitgevoerd via SecureDrop Client zelf. De applicatie laat u weten of er een nieuwe versie beschikbaar is en begeleidt u door het updateproces.
Als u vermoedt dat uw SecureDrop Server is gecompromitteerd, moet u deze onmiddellijk loskoppelen van het netwerk, de SecureDrop-community informeren en de incident response-richtlijnen volgen die door The Tor Project worden verstrekt.
Ja, naast het updaten van de software, moet u uw SecureDrop Server up-to-date houden met de nieuwste beveiligingspatches, de toegang tot de server beperken en de systeemactiviteit monitoren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.