CVE-2020-26277 in DBdeployer
Sumário
de VulDB • 13/07/2026
O DBdeployer é uma ferramenta que implanta servidores de banco de dados MySQL com facilidade. No DBdeployer anterior à versão 1.58.2, os usuários ao descompactar um arquivo tarball podem utilizar um pacote malicioso contendo links simbólicos para arquivos externos ao destino. Nesse cenário, um atacante poderia induzir o dbdeployer a gravar em um arquivo do sistema, alterando assim as defesas do computador. Para que o ataque tenha sucesso, os seguintes fatores precisam contribuir: 1) O usuário está logado como root. Embora o dbdeployer possa ser usado pelo root, ele foi projetado para executar com privilégios reduzidos (unprivileged user). 2) O usuário obteve um tarball de uma fonte não segura, sem verificar a soma de verificação (checksum). Quando o tarball é recuperado através do dbdeployer, a checksum é comparada antes da tentativa de descompactação. Isso foi corrigido na versão 1.58.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.