[TLP:CLEAR] Emacs opravuje 2 vysoce závažné zranitelnosti

Emacs verzí 30.1 opravuje 2 vysoce závažné zranitelnosti [1][2]. Z operačních systémů vydal opravu například Slackware v rámci SSA:2025-057-01 [3] a Debian ve verzi 1:27.1+1-3.1+deb11u6 pro vydání bullseye (security), 1:28.2+1-15+deb12u4 pro bookworm (security) a 1:30.1+1-3 pro sid a trixie [4][5]. Red Hat poskytl opravu CVE-2025-1244 [6][7]. Gentoo nabízí verzi 30.1 jako testovací [8].

Emacs - command execution (CVE-2025-1244) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno spouštět libovolné shellové příkazy kvůli nedostatečné validaci vstupu a zpracování "man" URI [6][9].

Zranitelnost se nachází v produktu Emacs ve verzích <30.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 2. 2025.

Emacs - RCE (CVE-2024-53920) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je umožněno spustit kód skrze škodlivý .el soubor kvůli chybnému rozšiřování maker (macro expansion) v Emacs Lisp při prohlížení nebo úpravě kódu na stroji oběti. Kód může být vykonán automaticky při kontrole chyb (Flymake/Flycheck) nebo doplňování kódu [7][10]. Mitigace rizika spočívá v zákazu automatické kontroly chyb pomocí Flymake/Flycheck, deaktivaci automatického doplňování kódu v nedůvěryhodných .el souborech a nastavení "enable-local-eval" na "nil". Opravená verze tyto mechanismy implementuje. Detailní informace ke zranitelnosti jsou k dispozici na [10].

Zranitelnost se nachází v produktu Emacs ve verzích <30.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 27. 11. 2024.

Za CESNET-CERTS Michaela Ručková dne 5. 3. 2025.

CESNET CERTS Logo