PT-2026-44197 · Rpm · Rpm
Publicado
2026-05-28
·
Atualizado
2026-07-06
·
CVE-2026-44604
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
RPM (versões afetadas não especificadas)
Descrição
Um problema de injeção de comando existe no utilitário
rpmuncompress. Ao extrair formatos de arquivo ZIP, 7z ou GEM para um diretório de destino, a ferramenta não sanitiza adequadamente o nome da pasta de nível superior antes de inseri-lo em um comando de shell. Um invasor pode usar um arquivo especialmente criado com metacaracteres de shell no nome da pasta para executar comandos arbitrários com os privilégios do usuário que realiza a extração.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rpm