CVE-2026-11853
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Parser używany do odczytu plików manifestu akceptował dowolne, w pełni kontrolowane przez użytkownika ścieżki, co mogło prowadzić do tworzenia dowolnych linków symbolicznych na serwerze roboczym.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do nadpisania dowolnych plików, do których użytkownik serwera roboczego ma dostęp, co może prowadzić do utraty danych lub kompromitacji systemu.
Rekomendacja
Zaleca się ograniczenie dostępu do funkcji mergeuploads oraz wprowadzenie walidacji ścieżek w parserze, aby zapobiec tworzeniu nieautoryzowanych linków symbolicznych.
Oryginalny opis (angielski, źródło NVD)
Debusine is an integrated solution to build, distribute and maintain a Debian-based distribution. Debian source packages (.dsc) and upload artifacts (.changes) are manifest files that name the files that make up the artifact. The parser used to read these files in Debusine accepted arbitrary fully user-controlled paths. The mergeuploads task could be abused to create arbitrary symbolic links on a worker, overwriting any file that the worker user has access to.

