MENU PRINCIPAL

Sécurité et conformité

Nous respectons les normes les plus élevées pour protéger vos données et garantir la confiance.

DEVO-2026-0019

UniGetUI est affecté par une vulnérabilité de corrélation de paquet incorrecte.

Produits affectés

UniGetUI
2026.2.0 et versions antérieures

Journal des modifications

Publication initiale - 2026-06-17

Une corrélation de paquet incorrecte dans le backend pinget peut installer un paquet sans rapport

7.2 Élevée - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:H/VA:N/SC:H/SI:H/SA:H

L'utilisation d'un nom ou d'une référence incorrectement résolu dans le backend pinget de Devolutions UniGetUI 2026.2.0 et versions antérieures permet à un contributeur du catalogue communautaire WinGet de provoquer la corrélation d'une application installée avec un paquet de catalogue sans rapport, contrôlé par un attaquant, et d'exécuter un installateur contrôlé par un attaquant au moyen d'un paquet de catalogue conçu à cette fin dont le nom normalisé est contenu comme sous-chaîne dans le nom de l'application installée lorsqu'un utilisateur applique la mise à jour proposée.

CVE(s)

CVE-2026-10696

Mesures correctives et solutions de contournement

Mettez à niveau vers Devolutions UniGetUI 2026.2.1 ou une version supérieure