CVE-2026-47828 in bosh-cliالمعلومات

الملخص

بحسب VulDB • 09/07/2026

أثناء تنفيذ أوامر `bosh create-env` و `bosh delete-env`، تقوم واجهة سطر الأوامر (CLI) برفع حزم CPI المُجمَّعة وقوالب الوظائف المُعالجة إلى مستودع الكتل DAV الخاص بالآلة الافتراضية الجديدة عبر HTTPS دون التحقق من شهادة الخادم، على الرغم من توفر شهادة جهة إصدار الشهادات (CA) لذلك الطرف في ملف التثبيت. يمكن لمهاجر شبكة إنهاء اتصال TLS، وجمع بيانات اعتماد المصادقة الأساسية (Basic-auth)، وقراءة الأرشيف الذي يحتوي على القوالب المُعالجة والذي يضم كل الأسرار الأولية لتوجيه BOSH الجديد، ثم إعادة استخدام هذه البيانات الاعتماد ضد وكيل الآلة الافتراضية الحقيقية لتنفيذ التعليمات البرمجية بصلاحيات الجذر.

الإصدارات المتأثرة: إصدارات bosh-cli السابقة لـ v7.10.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Vmware

حجز

20/05/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377131

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!