漏洞概述 漏洞编号: CVE-2026-11837 漏洞描述: 在 模块的 功能中发现了一个本地权限提升漏洞。该漏洞允许未授权用户在他们的 目录中创建预阶段符号链接。当以 root 用户运行 任务时,模块会遵循符号链接并更改任意文件/目录的所有权,从而启用 root 权限提升。 报告时间: 2026-06-10 04:16 UTC 修改时间: 2026-06-11 07:36 UTC 报告人: OSIDB Bzport CC 列表: 9 用户 影响范围 产品: Security Response 组件: vulnerability 版本: unspecified 硬件: All 操作系统: Linux 优先级: high 严重性: high 目标里程碑: --- 分配给: Product Security DevOps Team 修复方案 修复版本: Close Off 最后关闭: Embargoed 相关漏洞: CVE-2024-9992 (ansible-core user module),该漏洞解决了相同的符号链接跟随类问题,但 模块在单独的 集合中未被该修复覆盖。 备注 需要登录才能评论或对此漏洞进行更改。 附件 描述: 详细描述了漏洞的具体情况和修复建议。