CVE-2026-8663
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 — wyżej niż 50% wszystkich znanych CVE
Streszczenie
Wtyczka RPM dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia OS poprzez parametry repo, key lub name z powodu niedostatecznego oczyszczania danych wejściowych.
Ocena ryzyka
Organizacja narażona jest na przejęcie kontroli nad systemem Linux przez uwierzytelnionego atakującego, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub całkowitego naruszenia integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę RPM do najnowszej wersji dostępnej od producenta oraz zastosować mechanizmy walidacji i sanityzacji danych wejściowych dla parametrów repo, key i name.
Oryginalny opis (angielski, źródło NVD)
OS Command Injection vulnerability in Rapid7 InsightConnect RPM Plugin on Linux allows authenticated attackers to execute arbitrary OS commands via the repo, key, or name parameters due to insufficient input sanitization in shell command construction.

