CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-39958

Critical
Published: Translated: NVD NIST

Summary

Pakiet oma, menedżer pakietów dla AOSC OS, przed wersją 1.25.2, nie sprawdzał transliteracji pola nazwy w metadanych manifestów tematów. Złośliwy podmiot mógł dostarczyć wadliwy manifest, co prowadziło do dodania złośliwych wpisów źródłowych APT do pliku /etc/apt/sources.list.d/atm.list.

Risk Assessment

Organizacja może być narażona na złośliwe oprogramowanie lub inne ataki, jeśli nieautoryzowane źródła pakietów zostaną dodane do systemu. Może to prowadzić do kompromitacji systemów i danych.

Recommendation

Zaleca się aktualizację pakietu oma do wersji 1.25.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt istniejących wpisów w plikach źródłowych APT.

Original NVD description (English source)

oma is a package manager for AOSC OS. Prior to 1.25.2, oma-topics is responsible for fetching metadata for testing repositories (topics) named "Topic Manifests" ({mirror}/debs/manifest/topics.json) from remote repository servers, registering them as APT source entries. However, the name field in said metadata were not checked for transliteration. In this case, a malicious party may supply a malformed Topic Manifest, which may cause malicious APT source entries to be added to /etc/apt/sources.list.d/atm.list as oma-topics finishes fetching and registering metadata. This vulnerability is fixed in 1.25.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS