CVE-2026-12391 in ubuntu-pro-clientinfo

Zusammenfassung

von VulDB • 16.07.2026

In Canonical ubuntu-pro-client (ehemals ubuntu-advantage-tools) besteht eine Schwachstelle im Zusammenhang mit unsicherer Verfolgung von symbolischen Links innerhalb des Frameworks für den Befehl `pro collect-logs`. Das Dienstprogramm erstellt oder verwendet vorhersagbare temporäre Dateipfade bzw. benutzerzugängliche Protokollierungsverzeichnisse beim Sammeln diagnostischer Informationen, ohne dabei den Dateityp oder die Eigentümerschaft zu überprüfen. Ein nicht privilegiertes lokales Angreifer kann dieses Verhalten ausnutzen, indem er einen symbolischen Link (Symlink) an einem vorhersagbaren Zielpfad erstellt, der auf eine beliebige, von Root lesbare Datei verweist (z. B. /etc/shadow oder private Dateien innerhalb von /root). Wenn ein Administrator oder Bediener mit Root-Rechten anschließend den Befehl `pro collect-logs` ausführt, folgt das Dienstprogramm dem vom Benutzer kontrollierten symbolischen Link, liest die Zieldatei und komprimiert deren Inhalt in das daraus resultierende diagnostische Support-Archiv. Da das Ausgabearchiv weiterhin für den nicht privilegierten Benutzer lesbar ist, kann der Angreifer die sensiblen, Root-eigenen Dateien extrahieren und lesen, was zu einer vollständigen Offenlegung von Systemgeheimnissen führt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Canonical

Reservieren

16.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379517

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!