PT-2026-44197 · Rpm · Rpm

Publicado

2026-05-28

·

Atualizado

2026-07-06

·

CVE-2026-44604

CVSS v3.1

7.0

Alta

VetorAV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas RPM (versões afetadas não especificadas)
Descrição Um problema de injeção de comando existe no utilitário rpmuncompress. Ao extrair formatos de arquivo ZIP, 7z ou GEM para um diretório de destino, a ferramenta não sanitiza adequadamente o nome da pasta de nível superior antes de inseri-lo em um comando de shell. Um invasor pode usar um arquivo especialmente criado com metacaracteres de shell no nome da pasta para executar comandos arbitrários com os privilégios do usuário que realiza a extração.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44604
ECHO-AABB-5650-DEE3
OPENSUSE-SU-2026:11193-1
RHSA-2026:28491

Produtos afetados

Rpm