Plataforma
linux
Componente
fleetdm/fleet
Corrigido em
4.81.2
O CVE-2026-27806 é uma vulnerabilidade de Command Injection identificada no software de gerenciamento de dispositivos Fleet. Essa falha permite que um usuário não privilegiado execute comandos arbitrários com privilégios de root, explorando a forma como o agente Orbit lida com a rotação de chaves de criptografia FileVault. A vulnerabilidade afeta as versões 4.81.0 até, mas não incluindo, a versão 4.81.1, sendo corrigida na versão 4.81.1.
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Actualice a la versión 4.81.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la inyección de comandos Tcl al validar correctamente la entrada del usuario antes de ejecutar scripts.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Command Injection no software Fleet, que permite a execução de comandos arbitrários com privilégios de root por um usuário local, devido à manipulação insegura de senhas no processo de rotação de chaves FileVault.
Se você estiver utilizando o Fleet nas versões 4.81.0 ou anteriores a 4.81.1, você está potencialmente afetado por esta vulnerabilidade. É crucial verificar sua versão e aplicar a correção.
A correção oficial para esta vulnerabilidade está disponível na versão 4.81.1 do Fleet. Atualize para esta versão para eliminar a vulnerabilidade.
Vetor CVSS
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.