CVE

CVE

影响范围

Polkit Pkexec

漏洞类型

本地权限提升

利用条件

影响范围应用

漏洞概述

Polkit是一个应用程序级别的工具集，通过定义和审核权限规则，实现不同优先级进程间的通讯，控制决策集中在统一的框架之中，决定低优先级进程是否有权访问高优先级进程

Polkit在系统层级进行权限控制，提供了一个低优先级进程和高优先级进程进行通讯的系统，它和sudo等程序不同，Polkit并没有赋予进程完全的root权限，而是通过一个集中的策略系统进行更精细的授权，这个漏洞是本地触发，只有在获得有限权限的前提下提升至 root。请大家综合考虑自己的业务影响做好升级工作

漏洞复现

测试环境：

编译EXP:

 执行EXP:

漏洞EXP

安全建议

升级pkexec

参考连接

PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog