Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-44604

PUBLISHED 25.06.2026

CNA: redhat

Rpm: command injection in rpmuncompress dountar() via unescaped archive top-level directory name in popen() shell command

Обновлено: 25.06.2026
A command injection vulnerability was discovered in the `rpmuncompress` utility of RPM. When extracting certain archive formats (ZIP, 7z, GEM) to a specified destination directory, the tool inserts the archive's top-level folder name into a shell command without properly sanitizing it. A specially crafted archive containing shell metacharacters in its folder name can execute arbitrary commands as the user running the extraction.

CWE

Идентификатор Описание
CWE-78 The product constructs all or part of an OS command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended OS command when it is sent to a downstream component.

CVSS

Оценка Severity Версия Базовый вектор
7 HIGH 3.1 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Доп. Информация

Product Status

Red Hat Hardened Images
Product: Red Hat Hardened Images
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 6.0.1-6.1.hum1 до * unaffected
СPE:
  • cpe:/a:redhat:hummingbird:1
Pen Drive Powered by Red Hat Lightspeed
Product: Pen Drive Powered by Red Hat Lightspeed
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/a:redhat:pdrive_lightspeed:0
Red Hat build of Quarkus Native builder
Product: Red Hat build of Quarkus Native builder
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/a:redhat:quarkus:3
Red Hat Enterprise Linux 10
Product: Red Hat Enterprise Linux 10
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:10
Red Hat Enterprise Linux 10
Product: Red Hat Enterprise Linux 10
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:10
Red Hat Enterprise Linux 6
Product: Red Hat Enterprise Linux 6
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:6
Red Hat Enterprise Linux 7
Product: Red Hat Enterprise Linux 7
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:7
Red Hat Enterprise Linux 8
Product: Red Hat Enterprise Linux 8
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:8
Red Hat Enterprise Linux 9
Product: Red Hat Enterprise Linux 9
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:9
Red Hat Enterprise Linux 9
Product: Red Hat Enterprise Linux 9
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/o:redhat:enterprise_linux:9
Red Hat OpenShift Container Platform 4
Product: Red Hat OpenShift Container Platform 4
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/a:redhat:openshift:4
Red Hat Satellite 6
Product: Red Hat Satellite 6
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/a:redhat:satellite:6
Red Hat Satellite 6
Product: Red Hat Satellite 6
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/a:redhat:satellite:6
Red Hat Satellite 6
Product: Red Hat Satellite 6
Vendor: Red Hat
Default status: unknown
СPE:
  • cpe:/a:redhat:satellite:6
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 28.05.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 28.05.2026

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.