Início
Início
Tendências
Tendências
Vulnerabilidades
Vulnerabilidades
Notícias
Notícias
Pesquisadores
Pesquisadores
Por que dbugs?
Por que dbugs?
Configurações

Frederick Jerusha

#29182de 54,826
9CVSS total
Vulnerabilidades · 1
PT-2026-60459
9
2026-07-16
Canonical · Ubuntu-Pro-Client · CVE-2026-11386
**Nome do Software Vulnerável e Versões Afetadas** ubuntu-pro-client (versões afetadas não especificadas) **Description** Um problema de validação de entrada e injeção existe onde o cliente constrói arquivos de fonte APT usando dados da resposta do servidor de contrato através dos campos `directives.suites[]` e `directives.aptURL`. O uso do `str.format()` do Python para gravar esses arquivos sem escape, validação ou filtragem de caracteres de nova linha permite que uma resposta adulterada contendo caracteres de nova linha injete linhas de configuração arbitrárias em fontes APT pertencentes ao root. Quando combinado com o campo `additionalPackages[]` não validado, que é passado para um comando `apt-get install` executado como root, um invasor que consiga manipular a resposta do contrato pode forçar a instalação de pacotes maliciosos, levando à execução de código arbitrário com privilégios de root. Este componente é pré-instalado em versões suportadas do Ubuntu Server e auto-anexa por padrão em imagens Ubuntu Pro de provedores de nuvem. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.