PT-2026-43379 · Unknown · Thingsboard
Sunshinetoyou
·
Publicado
2026-05-26
·
Atualizado
2026-05-26
·
CVE-2026-9568
CVSS v2.0
5.1
Média
| Vetor | AV:N/AC:H/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
ThingsBoard versões anteriores a 4.3.1.2
Descrição
Uma falha de injeção de código existe no componente YAML Handler. O problema está localizado na função
getGatewayDockerComposeFile() do endpoint '/api/v1/provision'. Isso permite que um invasor remoto injete código, embora a complexidade do ataque seja alta e a exploração seja considerada difícil.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/v1/provision' ou desative a função
getGatewayDockerComposeFile() para minimizar o risco de exploração.Special Elements Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Thingsboard