https://blog.qife122.com/tags/cve-2025-12744/ Recent content in CVE-2025-12744 on 办公AI智能小助手 Hugo zh-cn qife Sun, 07 Dec 2025 10:53:08 +0800 https://blog.qife122.com/p/abrt%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E4%BB%8Ecve-2025-12744%E7%9C%8B%E6%9C%AC%E5%9C%B0%E6%8F%90%E6%9D%83%E9%A3%8E%E9%99%A9/ Sun, 07 Dec 2025 10:53:08 +0800 https://blog.qife122.com/p/abrt%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E4%BB%8Ecve-2025-12744%E7%9C%8B%E6%9C%AC%E5%9C%B0%E6%8F%90%E6%9D%83%E9%A3%8E%E9%99%A9/ <h3 id="概述"><strong>概述</strong></h3> <p><strong>CVE-2025-12744</strong> 是一个在ABRT（自动错误报告工具）守护进程中发现的漏洞，该漏洞允许本地特权提升。</p> <h3 id="漏洞描述"><strong>漏洞描述</strong></h3> <p>在ABRT守护进程处理用户提供的挂载信息时发现一个缺陷。ABRT从未经信任的输入中复制最多12个字符，并将其直接放入shell命令（<code>docker inspect %s</code>）中，而没有进行适当的验证。一个非特权本地用户可以制作一个注入shell元字符的有效载荷，导致以root身份运行的ABRT进程执行攻击者控制的命令，最终获得完整的root权限。</p>