Vulnerabilidad en osctrl (CVE-2026-28279)

osctrl es una solución de gestión de osquery. Antes de la versión 0.5.0, existe una vulnerabilidad de inyección de comandos del sistema operativo en la configuración del entorno de `osctrl-admin`. Un administrador autenticado puede inyectar comandos de shell arbitrarios a través del parámetro de nombre de host al crear o editar entornos. Estos comandos se incrustan en scripts de una sola línea de inscripción generados usando el paquete `text/template` de Go (que no realiza el escape de shell) y se ejecutan en cada punto final que se inscribe usando el entorno comprometido. Un atacante con acceso de administrador puede lograr la ejecución remota de código en cada punto final que se inscribe usando el entorno comprometido. Los comandos se ejecutan como root/SYSTEM (el nivel de privilegio utilizado para la inscripción de osquery) antes de que se instale osquery, sin dejar rastro de auditoría a nivel de agente. Esto permite la instalación de puertas traseras, la exfiltración de credenciales y el compromiso total del punto final. Esto se corrige en osctrl `v0.5.0`. Como solución alternativa, restrinja el acceso de administrador de osctrl a personal de confianza, revise las configuraciones de entorno existentes en busca de nombres de host sospechosos y/o monitoree los scripts de inscripción en busca de comandos inesperados.