Platform
linux
Component
fleetdm/fleet
Opgelost in
4.81.2
CVE-2026-27806 is een Command Injection kwetsbaarheid in de Orbit agent van Fleet, open source device management software. Deze kwetsbaarheid stelt een lokale, niet-geprivilegieerde gebruiker in staat om root privileges te verkrijgen door middel van het injecteren van Tcl commando's in een script dat met root rechten wordt uitgevoerd. De kwetsbaarheid treedt op in versies 4.81.0 en eerder, en is verholpen in versie 4.81.1.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
Actualice a la versión 4.81.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la inyección de comandos Tcl al validar correctamente la entrada del usuario antes de ejecutar scripts.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27806 is a Command Injection vulnerability in Fleet's Orbit agent. It allows a local user to inject commands into a script executed with root privileges during FileVault key rotation, potentially leading to privilege escalation.
You are affected if you are using Fleet version 4.81.0 or earlier. Versions prior to 4.81.1 are vulnerable to this Command Injection flaw.
Upgrade Fleet to version 4.81.1 to resolve this vulnerability. This version includes a fix that prevents the command injection.
CVSS-vector
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.