CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41010

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

Podatność CVE-2026-41010 dotyczy BOSH Director, gdzie nazwa zadania jest pobierana z złośliwego pliku release.MF i używana do tworzenia ścieżek do katalogów. W wyniku tego, złośliwe znaki metakarakterów powłoki mogą być interpretowane, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu.

Risk Assessment

Organizacje mogą być narażone na ataki, które wykorzystują tę podatność do wykonania złośliwego kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację BOSH Director do wersji 282.1.12 lub nowszej, aby usunąć tę podatność oraz przeglądanie i weryfikację plików release.MF przed ich użyciem.

Original NVD description (English source)

ReleaseJob#unpack builds job_dir = File.join(@release_dir, 'jobs', name) and job_tgz = File.join(@release_dir, 'jobs', "#{name}.tgz") where name returns @job_meta['name'], a value taken verbatim from the jobs: array of the attacker-supplied release.MF inside the uploaded tarball. These paths are then interpolated into a shell string: Bosh::Common::Exec.sh("tar -C #{job_dir} -xf #{job_tgz} 2>&1", :on_error => :return). Bosh::Common::Exec.sh executes via %x{#{command}} (bosh-common/lib/bosh/common/exec.rb:53), i.e. /bin/sh -c, so any shell metacharacters in name are interpreted. FileUtils.mkdir_p(job_dir) on line 49 creates the literal directory (no shell) and succeeds even when the name contains $()/;, so execution reaches the sh call. Affected versions: - BOSH Director: all versions prior to v282.1.12 (inclusive); fixed in v282.1.12 or later

Vulnerability data from NVD (NIST) · CISA KEV · EPSS