CVE-2026-11386 in ubuntu-pro-clientinformazioni

Riassunto

di VulDB • 16/07/2026

È presente una vulnerabilità di convalida dell'input e iniezione nel client Canonical ubuntu-pro-client (precedentemente noto come ubuntu-advantage-tools). Il client genera file sorgente APT (ad esempio /etc/apt/sources.list.d/ubuntu-.list o le loro controparti DEB822) utilizzando i dati ricevuti direttamente dalla risposta del server dei contratti tramite i campi directives.suites[] e directives.aptURL. Poiché il client utilizza str.format() di Python per scrivere questi file senza effettuare escape, convalida né filtraggio dei caratteri di newline (nuova riga), una risposta contrattuale malevola o manomessa contenente caratteri di nuova riga (\n) incorporati può iniettare con successo linee di configurazione deb arbitrarie controllate dall'attaccante nelle origini APT, che sono di proprietà dell'utente root. Quando combinata con il campo additionalPackages[] non validato — che viene passato posizionalmente a un comando apt-get install eseguito come root — un attaccante in grado di spoofare o manipolare la risposta contrattuale (ad esempio tramite infrastrutture interne compromesse, una connessione intercettata che utilizza una CA attendibile o bug logici locali) può costringere il client a recuperare e installare pacchetti malevoli. Ciò porta infine all'esecuzione arbitraria di codice con privilegi di root sul sistema interessato. Questo componente è preinstallato sulle versioni supportate di Ubuntu Server e si collega automaticamente per impostazione predefinita nelle immagini cloud provider Ubuntu Pro.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Canonical

Prenotare

05/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

medio

Fonti

Want to know what is going to be exploited?

We predict KEV entries!