漏洞概述 漏洞编号: CVE-2026-54228 漏洞类型: TOCTOU(时间检查到使用)竞态条件 漏洞描述: 在 的 服务中, 方法存在一个时间检查到使用的竞态条件。在 创建转储目录和创建事件执行之间,存在几秒钟的时间窗口,在此期间,任何本地用户都可以调用 将任意文本文件放入由 root 拥有的转储目录。由于转储目录中的元素在触发调用者进程崩溃时匹配调用者的 UID,攻击者可以在转储目录中植入任意文件,包括设置 "component" 元素以绕过包验证( ),从而允许崩溃或未打包的二进制文件在 post-create 处理中存活。 影响范围 产品: Security Response 组件: vulnerability 操作系统: Linux 优先级: high 严重程度: high 修复方案 状态: NEW 报告时间: 2026-06-12 20:54 UTC by OSIDB Bzimport 修改时间: 2026-06-12 22:29 UTC (History) CC 列表: 2 users (show) 修复版本: 未指定 克隆: 未指定 环境: 未指定 最后关闭: 未指定 Embargoed: 未指定 POC代码或利用代码 页面中未包含具体的 POC 代码或利用代码。 其他信息 关键词: Security 硬件: All 目标里程碑: --- 分配给: Product Security DevOps Team QA 联系人: 未指定 文档联系人: 未指定 URL: 未指定 白板: 未指定 依赖: 2489616 阻塞: 未指定 TreeView: depends on / blocked 附件 附件链接: (Terms of Use) 描述 描述内容: 详细描述了漏洞的具体机制和影响,强调了攻击者可以利用该漏洞在转储目录中植入任意文件,从而绕过包验证。 备注 备注: 需要登录才能在此漏洞上发表评论或进行更改。