CVE-2026-41011
WysokieCVSS 8.2Streszczenie
Podatność CVE-2026-41011 dotyczy sposobu, w jaki pakiet PackagePersister.validate_tgz buduje polecenie do wykonania w powłoce, wykorzystując nazwę pakietu bez odpowiedniego zabezpieczenia. W wyniku tego atakujący może wstrzyknąć złośliwy kod do polecenia, co prowadzi do potencjalnego wykonania nieautoryzowanych działań na serwerze.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości wykonania złośliwego kodu na serwerze, co może prowadzić do utraty danych, naruszenia integralności systemu oraz nieautoryzowanego dostępu do zasobów.
Rekomendacja
Zaleca się aktualizację do wersji BOSH v282.1.12 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji nazw pakietów przed ich przetworzeniem.
Oryginalny opis (angielski, źródło NVD)
PackagePersister.validate_tgz builds "tar -tf #{tgz} 2>&1" where tgz = File.join(release_dir, 'packages', "#{name}.tgz") and name = package_meta['name'] comes directly from release.MF inside the uploaded tarball. The string is passed to Bosh::Common::Exec.sh, which executes via %x{} — i.e., /bin/sh -c. No Shellwords.escape is applied. The Models::Package Sequel validation (VALID_ID = /^[-0-9A-Za-z_+.]+$/i) would reject the name, but in create_package (lines 74–79) the shell-out in save_package_source_blob runs before package.save, so validation fires too late. Affected versions: - BOSH: all versions prior to v282.1.12 (inclusive); fixed in v282.1.12 or later

