PT-2026-50524 · Devolutions · Unigetui
Publicado
2026-06-17
·
Atualizado
2026-06-17
·
CVE-2026-10696
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
Devolutions UniGetUI versões anteriores a 2026.2.1
Descrição
O backend pinget contém um problema onde nomes ou referências são resolvidos incorretamente. Isso permite que um contribuidor do catálogo da comunidade WinGet correlacione um aplicativo instalado a um pacote de catálogo não relacionado e controlado por um invasor. Se um usuário aplicar uma atualização proposta, um instalador controlado por um invasor pode ser executado por meio de um pacote de catálogo manipulado cujo nome normalizado seja uma substring do nome do aplicativo instalado.
Recomendações
Atualize para uma versão posterior a 2026.2.0.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Unigetui