CRITICAL🇬🇧 English

CVE-2024-49360

Sandboxie: nieautoryzowany odczyt plików między użytkownikami (path traversal)

CVSS 9.2v3.1pub. 2024-11-29upd. 2025-08-04

Podatność w oprogramowaniu Sandboxie pozwala uwierzytelnionemu użytkownikowi bez uprawnień administracyjnych na odczyt plików innych użytkowników przechowywanych w folderach sandbox (C:\Sandbox\). Jest to szczególnie groźne, ponieważ środowisko sandbox miało na celu izolację danych użytkowników, a podatność całkowicie obala tę gwarancję.

Pokaż oryginał (EN)

Sandboxie is a sandbox-based isolation software for 32-bit and 64-bit Windows NT-based operating systems. An authenticated user (**UserA**) with no privileges is authorized to read all files created in sandbox belonging to other users in the sandbox folders `C:\Sandbox\UserB\xxx`. An authenticated attacker who can use `explorer.exe` or `cmd.exe` outside any sandbox can read other users' files in `C:\Sandbox\xxx`. By default in Windows 7+, the `C:\Users\UserA` folder is not readable by **UserB**. All files edited or created during the sandbox processing are affected by the vulnerability. All files in C:\Users are safe. If `UserB` runs a cmd in a sandbox, he will be able to access `C:\Sandox\UserA`. In addition, if **UserB** create a folder `C:\Sandbox\UserA` with malicious ACLs, when **UserA** will user the sandbox, Sandboxie doesn't reset ACLs ! This issue has not yet been fixed. Users are advised to limit access to their systems using Sandboxie.

🤖 Analiza AI
Jak działa

Sandboxie nieprawidłowo kontroluje dostęp do folderów sandbox innych użytkowników w lokalizacji C:\Sandbox\. Uwierzytelniony użytkownik (UserA) może odczytać pliki należące do innego użytkownika (UserB) znajdujące się w folderze C:\Sandbox\UserB\, korzystając ze standardowych narzędzi systemowych jak explorer.exe lub cmd.exe uruchomionych poza piaskownicą. Dodatkowo, jeśli UserB utworzy folder C:\Sandbox\UserA ze złośliwymi listami kontroli dostępu (ACL), Sandboxie nie resetuje tych ACL podczas inicjalizacji sandbox dla UserA, co może prowadzić do dalszego nieuprawnionego dostępu lub manipulacji plikami. Luka należy do klasy path traversal (CWE-22), umożliwiając dostęp do zasobów poza zamierzonym zakresem izolacji.

Skutki

Atakujący może odczytać wszystkie pliki edytowane lub tworzone w trakcie przetwarzania sandbox przez innych użytkowników systemu, uzyskując dostęp do potencjalnie poufnych danych. Poprzez manipulację ACL w folderach sandbox możliwe jest również wpływanie na integralność środowiska sandbox innych użytkowników.

Mitygacja

Według informacji producenta podatność nie została jeszcze naprawiona (brak dostępnego patcha). Zaleca się ograniczenie dostępu do systemów, na których uruchomiony jest Sandboxie, wyłącznie do zaufanych użytkowników. Należy monitorować referencje producenta (GitHub Security Advisory GHSA-4chj-3c28-gvmp) w celu śledzenia dostępności poprawki. Jako obejście można ręcznie skonfigurować restrykcyjne uprawnienia NTFS na folderze C:\Sandbox\, aby uniemożliwić dostęp między użytkownikami.

Kogo dotyczy

Sandboxie-Plus / Sandboxie dla systemów Windows NT (32-bit i 64-bit), w tym Windows 7 i nowszych. Podatność nie została dotychczas naprawiona zgodnie z informacją zawartą w opisie advisories.

Uwagi

Producent potwierdził w advisories, że podatność nie została jeszcze naprawiona i zaleca jedynie ograniczenie dostępu do systemu jako środek zaradczy. Folder C:\Users pozostaje bezpieczny — podatność obejmuje wyłącznie dane przetwarzane przez sandbox w C:\Sandbox\.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L
  • Sandboxie Plus Sandboxie

    APP
    Sandboxie-Plus
    < 1.14.6< 5.69.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-34458CRITICAL9.3PL ✓ten sam produkt

INI injection w Sandboxie-Plus umożliwia eskalację uprawnień do SYSTEM

CVE-2025-64721CRITICAL9.9PL ✓ten sam produkt

Sandboxie-Plus: heap overflow w SbieSvc.exe umożliwia RCE jako SYSTEM

CVE-2018-18748CRITICAL10.0ten sam produkt

Sandboxie 5.26 allows a Sandbox Escape via an "import os" statement, followed by os.system("cmd") or os.system...

CVE-2026-32603HIGH8.2ten sam produkt

Sandboxie is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a lo...

CVE-2026-34459HIGH8.8ten sam produkt

Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier,...