Foi divulgada uma vulnerabilidade crítica no produto upKeeper Instant Privilege Access, da upKeeper Solutions, uma solução de gestão de privilégios. A falha, identificada como CVE-2026-2449, trata-se de uma falha de argument injection (CWE-88) — neutralização incorreta de delimitadores de argumentos num comando — que permite a um atacante sequestrar uma thread de execução privilegiada (Hijacking a Privileged Thread of Execution).

Versão afetada

Até à 1.5.0 inclusive

Severidade: A falha recebeu uma pontuação CVSS v4.0 de 9.0 (Crítica), com vetor de ataque remoto, baixa complexidade de ataque, sem necessidade de interação do utilizador, mas requerendo privilégios mínimos. O impacto é total a nível de confidencialidade, integridade e disponibilidade, tanto no sistema afetado como nos sistemas adjacentes.

Solução

Atualizar imediatamente para a versão 1.6.0.4576

Referências

• Advisory oficial da upkeeper: https://support.upkeeper.se/hc/en-us/articles/26783425404444-CVE-2026-2449-Improper-neutralization-of-argument-delimiters-in-a-command

• Mais informações técnicas: https://cve.threatint.eu/CVE/CVE-2026-2449

• Circl: https://vulnerability.circl.lu/vuln/cve-2026-2449

• Nvd: https://nvd.nist.gov/vuln/detail/CVE-2026-2449