Vulnerabilidad en DigitalOcean Droplet Agent (CVE-2026-24516)

Una vulnerabilidad de inyección de comandos existe en DigitalOcean Droplet Agent hasta la versión 1.3.2. El componente de acción de resolución de problemas (internal/troubleshooting/actioner/actioner.go) procesa metadatos del endpoint del servicio de metadatos y ejecuta comandos especificados en el array TroubleshootingAgent.Requesting sin una validación de entrada adecuada. Si bien el código valida que los artefactos existen en el mapa validInvestigationArtifacts, no logra sanear el contenido real del comando después del prefijo 'command:'. Esto permite a un atacante que puede controlar las respuestas de metadatos inyectar y ejecutar comandos arbitrarios del sistema operativo con privilegios de root. El ataque se desencadena enviando un paquete TCP con números de secuencia específicos al puerto SSH, lo que hace que el agente obtenga metadatos de http://169.254.169.254/metadata/v1.json. La vulnerabilidad afecta el flujo de ejecución de comandos en internal/troubleshooting/actioner/actioner.go (validación insuficiente), internal/troubleshooting/command/exec.go (llamada directa a exec.CommandContext) y internal/troubleshooting/command/command.go (análisis de comandos sin sanitización). Esto puede llevar a un compromiso completo del sistema, exfiltración de datos, escalada de privilegios y potencial movimiento lateral a través de la infraestructura en la nube.