Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, an INI injection vulnerability allows any standard local user to bypass configuration restrictions (EditAdminOnly and ConfigPassword) and inject arbitrary directives into the global Sandboxie.ini configuration file. The background service skips authorization checks for IPC messages targeting sections beginning with UserSettings_, but does not sanitize CRLF characters in either the value parameter (via MSGID_SBIE_INI_ADD_SETTING) or the setting name parameter (via MSGID_SBIE_INI_SET_SETTING). An attacker can inject a new sandbox section header with unrestricted permissions, enabling sandbox escape and SYSTEM privilege escalation. This issue has been fixed in version 1.17.3.
Sandboxie-Plus versions 1.17.2 and earlier contain an INI injection vulnerability allowing local users to bypass configuration restrictions and inject arbitrary directives into the global configuration file. This enables sandbox escape and privilege escalation to SYSTEM level through crafted IPC messages.
تسمح ثغرة حقن INI في Sandboxie-Plus للمستخدمين المحليين بتجاوز قيود التكوين مثل EditAdminOnly و ConfigPassword من خلال رسائل IPC المصنوعة بعناية. يمكن للمهاجمين حقن رؤوس قسم حماية جديدة بدون قيود، مما يؤدي إلى الهروب من الحماية والارتقاء إلى امتيازات SYSTEM. تم إصلاح هذه المشكلة في الإصدار 1.17.3.
Sandboxie-Plus الإصدارات 1.17.2 وما قبلها تحتوي على ثغرة حقن INI تسمح للمستخدمين المحليين بتجاوز قيود التكوين وحقن توجيهات عشوائية في ملف التكوين العام. يمكن لهذا تمكين الهروب من الحماية والارتقاء إلى امتيازات SYSTEM.
Update Sandboxie-Plus to version 1.17.3 or later immediately. Organizations should verify all systems running Sandboxie-Plus versions 1.17.2 and earlier are patched. Restrict local user access on critical systems and implement application whitelisting to prevent unauthorized sandbox configuration modifications.
قم بتحديث Sandboxie-Plus إلى الإصدار 1.17.3 أو أحدث على الفور. يجب على المنظمات التحقق من أن جميع الأنظمة التي تقوم بتشغيل Sandboxie-Plus الإصدارات 1.17.2 وما قبلها مصححة. قيد وصول المستخدمين المحليين على الأنظمة الحرجة وتطبيق قائمة بيضاء للتطبيقات.