PT-2026-33770 · Canonical · Canonical-Livepatch
Publicado
2026-04-20
·
Atualizado
2026-04-20
·
CVE-2026-6369
CVSS v4.0
5.7
Média
| Vetor | AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:L/SA:L |
Name of the Vulnerable Software and Affected Versions
canonical-livepatch snap client versões anteriores a 10.15.0
Description
Um controle de acesso inadequado permite que um usuário local não privilegiado obtenha um token de autenticação sensível de nível de root ao enviar uma solicitação não autenticada para o socket de domínio Unix 'livepatchd.sock'. Este problema é explorável em sistemas onde um administrador habilitou o cliente Livepatch com uma assinatura válida do Ubuntu Pro. Um invasor pode usar esse token para acessar os serviços do Livepatch usando as credenciais da vítima e potencialmente causar problemas no servidor Livepatch.
Recommendations
Atualize o canonical-livepatch snap client para a versão 10.15.0 ou posterior.
Correção
Missing Authentication
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Canonical-Livepatch