PT-2026-60773 · Proxmox Server Virtual Environment · Pve-Manager+2
CVE-2026-51082
·
Publicado
2026-07-17
·
Atualizado
2026-07-17
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
pve-manager versões anteriores a 9.1.9
pve-manager versões anteriores a 8.4.19
qemu-server versões anteriores a 9.1.7
qemu-server versões anteriores a 8.4.7
pve-container versões anteriores a 6.1.3
pve-container versões anteriores a 5.3.4
Description
Existe uma condição de corrida (race condition) entre as chamadas de API 'vncproxy' e 'vncwebsocket'. Esta falha permite que um invasor com privilégios utilize o endpoint 'vncproxy' para sequestrar uma sessão VNC que esteja sendo estabelecida simultaneamente por outro usuário para uma máquina virtual diferente.
Recommendations
Atualize o pve-manager para a versão 9.1.9 ou posterior.
Atualize o pve-manager para a versão 8.4.19 ou posterior.
Atualize o qemu-server para a versão 9.1.7 ou posterior.
Atualize o qemu-server para a versão 8.4.7 ou posterior.
Atualize o pve-container para a versão 6.1.3 ou posterior.
Atualize o pve-container para a versão 5.3.4 ou posterior.
Correção
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pve-Container
Pve-Manager
Qemu-Server