Plateforme
linux
Composant
dde-control-center
Corrigé dans
6.1.36
5.5.4
2.0.2
La vulnérabilité CVE-2026-35207 affecte dde-control-center, le panneau de contrôle de l'environnement de bureau Deepin. Le plugin plugin-deepinid, qui fournit le service cloud deepinid, est vulnérable à une attaque de type "man-in-the-middle" (MITM) en raison d'une validation TLS incorrecte lors de la récupération de l'avatar utilisateur. Les versions affectées sont comprises entre 5.5.3 et 6.1.35, ainsi que toutes les versions inférieures à 6.1.80. Une correction a été déployée dans la version 6.1.80.
Cette vulnérabilité permet à un attaquant positionné sur le chemin du trafic réseau (MITM) d'intercepter les communications entre le client et openapi.deepin.com ou d'autres fournisseurs d'avatars. L'attaquant peut alors remplacer l'avatar utilisateur par une image malveillante ou trompeuse. Bien que l'impact principal soit l'usurpation d'identité visuelle, cela peut également servir à l'ingénierie sociale ou à la collecte d'informations sur l'utilisateur. L'attaquant pourrait, par exemple, afficher un faux avatar pour inciter l'utilisateur à effectuer des actions non souhaitées. Il n'est pas possible d'exécuter du code arbitraire avec cette vulnérabilité, mais l'impact sur la confiance et la réputation est significatif.
Cette vulnérabilité a été rendue publique le 9 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, car elle nécessite un positionnement MITM, ce qui n'est pas toujours facile à réaliser. Il n'est pas listé sur le KEV de CISA à ce jour. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Users of Deepin Desktop Environment who rely on the dde-control-center for managing their Deepin ID cloud service are at risk. This includes users on systems running affected versions of dde-control-center, particularly those in environments where network traffic is potentially susceptible to interception.
• linux / server:
journalctl -f -u dde-control-center | grep -i "tls certificate verification"• linux / server:
ps aux | grep deepinid• generic web: Use a network sniffer (e.g., Wireshark) to monitor traffic to openapi.deepin.com and look for connections without proper TLS certificate validation.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour dde-control-center vers la version 6.1.80. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin plugin-deepinid ou de configurer un proxy ou un pare-feu pour bloquer les communications avec openapi.deepin.com. En attendant la mise à jour, assurez-vous que votre système est à jour avec les derniers correctifs de sécurité pour réduire la surface d'attaque. Après la mise à jour, vérifiez que la validation TLS fonctionne correctement en accédant à votre avatar et en vérifiant que la connexion est sécurisée (HTTPS).
Mettez à jour le paquet dde-control-center à la version 6.1.80 ou supérieure, ou à la version 5.9.9 si vous utilisez une version antérieure à 6.1.35. Cette mise à jour corrige la configuration incorrecte qui permettait d'omettre la vérification des certificats TLS lors du téléchargement des avatars, atténuant ainsi le risque d'attaques (Man-in-the-Middle).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35207 est une vulnérabilité MITM dans dde-control-center, permettant à un attaquant d'intercepter le trafic et de remplacer l'avatar utilisateur. La CVSS est de 5.4 (MODÉRÉ).
Vous êtes affecté si vous utilisez dde-control-center dans les versions 5.5.3–>= 6.1.35, < 6.1.80.
Mettez à jour dde-control-center vers la version 6.1.80. En attendant, désactivez le plugin plugin-deepinid ou configurez un proxy.
À ce jour, il n'y a aucune indication d'exploitation active, mais la probabilité est considérée comme modérée.
Consultez le site officiel de Deepin pour l'avis de sécurité correspondant à CVE-2026-35207.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.