الثغرات ›

CVE-2026-44604

مرتفع

CWE-78 — نوع الضعف

                    نُشر: May 28, 2026                      ·  آخر تحديث: Jun 4, 2026                      ·  المصدر: NVD                

CVSS v3

7.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A command injection vulnerability was discovered in the `rpmuncompress` utility of RPM. When extracting certain archive formats (ZIP, 7z, GEM) to a specified destination directory, the tool inserts the archive's top-level folder name into a shell command without properly sanitizing it. A specially crafted archive containing shell metacharacters in its folder name can execute arbitrary commands as the user running the extraction.

🤖 ملخص AI

CVE-2026-44604 is a command injection vulnerability in RPM's rpmuncompress utility that allows arbitrary command execution through unsanitized archive folder names. Attackers can craft malicious archives with shell metacharacters to execute commands with the privileges of the extraction process.

📄 الوصف (العربية)

ثغرة حقن الأوامر في أداة rpmuncompress في RPM تسمح بتنفيذ أوامر عشوائية عند استخراج أرشيفات ZIP و7z و GEM. يمكن للمهاجمين إنشاء أرشيفات ضارة تحتوي على أحرف shell في أسماء المجلدات لتنفيذ أوامر بصلاحيات المستخدم الذي يقوم بالاستخراج.

🤖 ملخص تنفيذي (AI)

A command injection flaw exists in RPM's rpmuncompress tool when processing ZIP, 7z, and GEM archives with unsanitized folder names. Specially crafted archives containing shell metacharacters can lead to arbitrary command execution on affected systems.

🤖 التحليل الذكي آخر تحليل: Jun 2, 2026 06:37

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government energy telecom banking healthcare

🎯 تقنيات MITRE ATT&CK

T1059.004 T1203 T1566.001

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update RPM to the latest patched version that properly sanitizes archive folder names before using them in shell commands. Implement input validation and use safe command execution methods that avoid shell interpretation. Restrict archive extraction to trusted sources only.

🔧 خطوات المعالجة (العربية)

قم بتحديث RPM إلى أحدث إصدار معدل يقوم بتعقيم أسماء مجلدات الأرشيف بشكل صحيح قبل استخدامها في أوامر shell. طبق التحقق من صحة المدخلات واستخدم طرق تنفيذ الأوامر الآمنة التي تتجنب تفسير shell. قيد استخراج الأرشيف إلى المصادر الموثوقة فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.1.1.1 A.2.1.1 A.2.1.2

🔵 SAMA CSF

ID.BE-1 PR.DS-1 PR.IP-1

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 2

🔗

https://access.redhat.com/security/cve/CVE-2026-44604

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2460967

secalert@redhat.com

📊 CVSS Score

7.0

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.0

CWECWE-78

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-28

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-78

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44604

عرّفنا بنفسك

تسجيل الدخول مطلوب