CVE-2026-10696
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wykorzystanie niepoprawnie rozwiązanej nazwy lub odniesienia w backendzie pinget w Devolutions UniGetUI 2026.2.0 i wcześniejszych wersjach pozwala na powiązanie zainstalowanej aplikacji z niezwiązanym pakietem katalogu kontrolowanym przez atakującego.
Ocena ryzyka
Atakujący może zainstalować złośliwe oprogramowanie poprzez manipulację pakietami katalogu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Devolutions UniGetUI oraz monitorowanie i weryfikację źródeł pakietów przed ich zastosowaniem.
Oryginalny opis (angielski, źródło NVD)
Use of an incorrectly resolved name or reference in the pinget backend in Devolutions UniGetUI 2026.2.0 and earlier allows a WinGet community catalog contributor to cause an installed application to be correlated to an unrelated, attacker-controlled catalog package and to execute an attacker-controlled installer via a crafted catalog package whose normalized name is contained as a substring within the installed application name when a user applies the proposed update.

