PT-2026-39595 · Cockpit+1 · Cockpit+1

Gabriel Rodrigues

+1

·

Publicado

2026-05-11

·

Atualizado

2026-06-11

·

CVE-2026-4802

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Cockpit (versões afetadas não especificadas)
Description Uma falha na interface do usuário (UI) de logs do sistema permite que um invasor remoto execute comandos arbitrários no host. O problema decorre de parâmetros controlados pelo usuário e não sanitizados em links manipulados, o que permite a injeção de metacaracteres de shell e substituições de comandos. Isso pode levar à execução de comandos de shell arbitrários e ao comprometimento total do sistema. A exploração requer que o usuário esteja autenticado no Cockpit.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

RCE

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALSA-2026:21468
ALSA-2026:21676
ALSA-2026:21700
CVE-2026-4802
OPENSUSE-SU-2026:10819-1
RHSA-2026:21390
RHSA-2026:21392
RHSA-2026:21394
RHSA-2026:21395
RHSA-2026:21468
RHSA-2026:21515
RHSA-2026:21516
RHSA-2026:21647
RHSA-2026:21676
RHSA-2026:21700
SUSE-SU-2026:2363-1

Produtos afetados

Cockpit
Rocky Linux