Vulnerabilidad en Red Hat (CVE-2026-1961)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/03/2026
Última modificación:
08/04/2026
Descripción
Se encontró un fallo en Foreman. Un atacante remoto podría explotar una vulnerabilidad de inyección de comandos en la implementación del proxy WebSocket de Foreman. Esta vulnerabilidad surge del uso por parte del sistema de valores de nombre de host no saneados de proveedores de recursos de cómputo al construir comandos de shell. Al operar un servidor de recursos de cómputo malicioso, un atacante podría lograr la ejecución remota de código en el servidor de Foreman cuando un usuario accede a la funcionalidad de la consola VNC de una VM. Esto podría llevar al compromiso de credenciales sensibles y de toda la infraestructura gestionada.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2026:5968
- https://access.redhat.com/errata/RHSA-2026:5970
- https://access.redhat.com/errata/RHSA-2026:5971
- https://access.redhat.com/security/cve/CVE-2026-1961
- https://bugzilla.redhat.com/show_bug.cgi?id=2437036
- http://www.openwall.com/lists/oss-security/2026/03/27/3