关键漏洞信息 CVE编号: CVE-2025-46804 漏洞描述: Screen 5.0.0 及更早版本在安装 setuid-root 时允许文件存在性测试,导致信息泄露。 受影响组件: Screen 优先级: P3 - 中等严重性 报告日期: 2025-05-05 11:31 UTC 报告人: Matthias Gerstner 漏洞细节 问题代码位置: screen.c 第 849 行 问题描述: 当以 setuid-root 权限运行 Screen 时,代码会检查 'SocketPath' 并提供错误消息,这些消息可能显示给非特权用户,从而泄露路径和其他信息。 利用方法: 使用 'SCREENDIR' 环境变量可以轻松实现这一点。 示例代码 建议修复方法 在进行此测试时,降低权限到实际用户 ID,除非需要多用户连接。 如果需要多用户攻击,不要添加额外的错误信息,只需报告路径无效。 影响范围 该漏洞也影响 SUSE 包装。 上游已发布相关修复,建议及时更新。