漏洞总结:CVE-2026-4802 漏洞概述 标题:Cockpit: Arbitrary command execution via crafted links in system logs UI ID:CVE-2026-4802 状态:NEW 严重性:high 优先级:high 组件:vulnerability 报告时间:2026-03-25 10:32 UTC 修改时间:2026-05-20 07:46 UTC 报告人:OSIDB Bzreport 描述: Cockpit 系统日志 UI 代码( 中的 函数)存在漏洞。该漏洞源于构建命令时从数组拼接为单个字符串,仅使用空格转义,随后通过 执行。用户可控参数(如 )未经过净化即可进入代码路径,并包含 shell 元字符(如 )。攻击者可注入任意 shell 命令到构造的管道中(如 ),并在主机上执行。提供的 POC 演示了将 的输出写入 ,确认了目标环境中的代码执行。 影响范围 产品:Security Response 硬件:All 操作系统:Linux 版本:unspecified 修复方案 修复版本:未指定(Fixed in Version: ---) 克隆/依赖:未指定 环境:未指定 最后关闭:未指定 Embargoed:未指定 POC 代码 说明: POC 演示了将 的输出写入 ,确认代码执行。