CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2014-2886
https://notcve.org/view.php?id=CVE-2014-2886
GKSu 2.0.2, when sudo-mode is not enabled, uses " (double quote) characters in a gksu-run-helper argument, which allows attackers to execute arbitrary commands in certain situations involving an untrusted substring within this argument, as demonstrated by an untrusted filename encountered during installation of a VirtualBox extension pack. GKSu 2.0.2, cuando el modo sudo no está habilitado, utiliza caracteres ' (dobles comillas) en un argumento de gksu-run-helper, lo cual permite a atacantes ejecutar comandos en ciertas situaciones relacionando una subcadena no confiable dentro de este argumento, tal y como fue demostrado mediante un nombre de fichero no confiable encontrado durante la instalación de un paquete de extensión de VirtualBox. • http://savannah.nongnu.org/bugs/?40023 https://community.rapid7.com/community/metasploit/blog/2014/07/07/virtualbox-filename-command-execution-via-gksu https://launchpad.net/bugs/1186676 https://security.gentoo.org/glsa/201812-10 • CWE-264: Permissions, Privileges, and Access Controls •