Katalog CVE

CVE-2026-10696

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wykorzystanie niepoprawnie rozwiązanej nazwy lub odniesienia w backendzie pinget w Devolutions UniGetUI 2026.2.0 i wcześniejszych wersjach pozwala na powiązanie zainstalowanej aplikacji z niezwiązanym pakietem katalogu kontrolowanym przez atakującego.

Ocena ryzyka

Atakujący może zainstalować złośliwe oprogramowanie poprzez manipulację pakietami katalogu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Devolutions UniGetUI oraz monitorowanie i weryfikację źródeł pakietów przed ich zastosowaniem.

Oryginalny opis (angielski, źródło NVD)

Use of an incorrectly resolved name or reference in the pinget backend in Devolutions UniGetUI 2026.2.0 and earlier allows a WinGet community catalog contributor to cause an installed application to be correlated to an unrelated, attacker-controlled catalog package and to execute an attacker-controlled installer via a crafted catalog package whose normalized name is contained as a substring within the installed application name when a user applies the proposed update.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS