漏洞概述 漏洞名称: CVE-2026-41011 – Package Name Command Injection 严重程度: CVSSv4: High 8.7 描述: 在 方法中,构建 命令时, 文件名直接来自 中的 。该字符串被传递给 ,通过 执行,没有应用 。尽管 的 Sequel 验证( )会拒绝名称,但在 (第74-79行)中, 中的 shell-out 在 之前运行,导致验证过晚触发。 影响范围 受影响版本: BOSH 所有版本在 v282.1.12 之前 修复方案 缓解措施: 强烈建议受影响产品的用户遵循以下缓解措施。 推荐升级: 升级已部署的 BOSH 目录到 v282.1.12 或更高版本。 POC代码 其他信息 初始漏洞报告发布日期: 2026年6月2日 作者: Cloud Foundry Foundation Security Team