CVE-2025-43079

Nome do Software Vulnerável e Versões Afetadas Qualys Cloud Agent (versões afetadas não especificadas)

Descrição O Qualys Cloud Agent inclui um script de desinstalação (qagent uninstall.sh) para MacOS e Linux que invoca comandos do sistema sem especificar caminhos absolutos ou sanitizar o ambiente $PATH. Se executado com privilégios elevados (por exemplo, usando sudo) em um ambiente comprometido onde a variável $PATH foi manipulada, um atacante com privilégios de root ou sudo poderia potencialmente executar executáveis maliciosos em vez dos binários do sistema pretendidos. Isso poderia levar ao escalonamento de privilégios local e à execução arbitrária de comandos com privilégios elevados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.