漏洞概述 CVE编号: CVE-2026-41010 漏洞名称: Release Job Name Command Injection on BOSH Director 严重程度: CVSSv4: High 8.7 描述: 该漏洞允许攻击者通过在上传的tarball中构造恶意文件名,执行任意命令。具体而言, 方法在处理文件名时未正确转义,导致命令注入。 影响范围 受影响版本: BOSH Director 所有版本,除非另有说明。 具体版本: 所有版本在v282.1.12之前。 修复方案 推荐措施: - 升级BOSH Director至v282.1.12或更高版本。 即时缓解措施: 1. 限制 权限仅授予高度信任的用户。 2. 实施额外的发布上传活动监控。 3. 考虑从较少信任的网络隔离BOSH Director。 4. 审计具有上传权限的现有账户。 POC代码 其他信息 发布日期: 2026年6月2日 作者: Cloud Foundry Foundation Security Team