发布日期：2020-08-29
更新日期：2020-09-11

受影响系统：

GNU GnuPG < 3.1.12
GNU GnuPG < 20.07.80

描述：

---

CVE(CAN) ID: CVE-2020-24972

GnuPG是GNU计划的一套开源的加密软件，采用GNU通用公共许可证。该软件支持公钥、对称加密、散列等算法。
GnuPG Kleopatra 组件3.1.12之前版本和20.07.80之前版本存在任意代码执行漏洞。该漏洞源于程序在缺少安全处理命令行选项的情况下支持openpgp4fpr：URL（Qt platformpluginpath命令行选项可用于加载任意DLL）。攻击者可以利用该漏洞执行任意代码。

<*链接：*>

建议：

---

厂商补丁：

GNU
---
GNU已经为此发布了一个安全公告（CVE-2020-24972）以及相应补丁:
CVE-2020-24972：Allow safe usage of query
链接：https://dev.gnupg.org/rKLEOPATRAb4bd63c1739900d94c04da03045e9445a5a5f54b

浏览次数：910
严重程度：0（网友投票）