CVE-2026-37525

Nome do Software Vulnerável e Versões Afetadas AGL app-framework-binder (afb-daemon) versões anteriores a 19.90.1

Descrição Um problema de escalonamento de privilégios existe no comando supervision Do. A função on supervision call() em src/afb-supervision.c anula as credenciais de solicitação ao chamar afb context change cred(&xreq->context, NULL) antes de despachar uma chamada de API. Como os parâmetros api e verb são controlados via entrada JSON, um invasor pode executar qualquer API registrada com um contexto de credencial NULL. Se uma API depender de context->credentials para decisões de autorização, ela pode falhar permitindo o acesso, possibilitando que o invasor obtenha privilégios elevados.

Recomendações Atualize para uma versão posterior a 19.90.0.