Katalog CVE

CVE-2026-41010

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność CVE-2026-41010 dotyczy BOSH Director, gdzie nazwa zadania jest pobierana z złośliwego pliku release.MF i używana do tworzenia ścieżek do katalogów. W wyniku tego, złośliwe znaki metakarakterów powłoki mogą być interpretowane, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu.

Ocena ryzyka

Organizacje mogą być narażone na ataki, które wykorzystują tę podatność do wykonania złośliwego kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację BOSH Director do wersji 282.1.12 lub nowszej, aby usunąć tę podatność oraz przeglądanie i weryfikację plików release.MF przed ich użyciem.

Oryginalny opis (angielski, źródło NVD)

ReleaseJob#unpack builds job_dir = File.join(@release_dir, 'jobs', name) and job_tgz = File.join(@release_dir, 'jobs', "#{name}.tgz") where name returns @job_meta['name'], a value taken verbatim from the jobs: array of the attacker-supplied release.MF inside the uploaded tarball. These paths are then interpolated into a shell string: Bosh::Common::Exec.sh("tar -C #{job_dir} -xf #{job_tgz} 2>&1", :on_error => :return). Bosh::Common::Exec.sh executes via %x{#{command}} (bosh-common/lib/bosh/common/exec.rb:53), i.e. /bin/sh -c, so any shell metacharacters in name are interpreted. FileUtils.mkdir_p(job_dir) on line 49 creates the literal directory (no shell) and succeeds even when the name contains $()/;, so execution reaches the sh call. Affected versions: - BOSH Director: all versions prior to v282.1.12 (inclusive); fixed in v282.1.12 or later

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS