CVE-2026-55201
Moderat

CVE-2026-55201: Sårbarhed i Evil-WinRM forklaret

Sårbarhed i Evil-WinRM kan lade en ondsindet server overskrive filer på din computer og give angribere vedvarende adgang.

CVSS Score
6.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

Evil-WinRM er et populært administrationsværktøj, som IT-folk bruger til at styre Windows-servere på afstand via WinRM-protokollen (Windows Remote Management). En sårbarhed i version 3.9 og tidligere gør, at selve værktøjet ikke tjekker filnavne ordentligt, når du henter filer fra en server. Hvis serveren returnerer filnavne med specielle tegn som ../ (kaldet path traversal), kan filer ende uden for den mappe, du har angivet. En angriber, der kontrollerer serveren, kan dermed skrive filer præcis hvor de vil på din maskine — herunder kritiske systemfiler.

Hvem rammer det?

Sårbarheden rammer primært IT-administratorer og sikkerhedsfolk (f.eks. penetrationstestere), som bruger Evil-WinRM til at administrere eller undersøge Windows-servere. Det er altså klientmaskinen — din laptop eller arbejdsstation — der er i fare, ikke serveren selv. Hvis din virksomhed bruger Evil-WinRM version 3.9 eller ældre til at forbinde til eksterne eller interne Windows-servere, bør du handle nu.

Hvad kan ske?

En angriber, der kontrollerer den Windows-server du forbinder til, kan udnytte sårbarheden til at overskrive filer på din maskine. Konkret kan det betyde:

  • Ændring af SSH-nøglefiler (authorized_keys), så angriberen kan logge ind på din maskine uden adgangskode
  • Manipulation af shell-konfigurationsfiler (f.eks. .bashrc), så skadelig kode køres automatisk ved næste login
  • Eskalering af rettigheder — angriberen kan opnå højere adgang på din maskine end normalt tilladt
  • Vedvarende bagdørsadgang, der overlever genstart og adgangskodeskift

Hvor alvorligt er det?

CVSS-scoren er 6,8 ud af 10 (Moderat). Selvom angrebet kræver, at angriberen allerede kontrollerer den server, du forbinder til — hvilket sænker risikoen en smule — er konsekvenserne alvorlige: fuld adgang til fortrolige data og mulighed for at ændre filer på din maskine. Kompleksiteten er høj og kræver brugerinteraktion (du skal aktivt hente filer), men det er præcis den normale arbejdsgang for Evil-WinRM-brugere. Risikoen er især relevant, hvis du forbinder til servere, du ikke 100% stoler på.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Opdatér Evil-WinRM straks. Rettelsen er tilgængelig i commit 6ecd570 på GitHub. Opdatér til den nyeste version, der indeholder denne rettelse, ved at køre gem update evil-winrm (eller hent seneste version fra projektets GitHub-side).
  2. Tjek om I bruger Evil-WinRM. Spørg jeres IT-ansvarlige, om værktøjet anvendes i virksomheden — typisk til penetrationstest, serveradministration eller Red Team-opgaver.
  3. Undgå at hente filer fra ikke-betroede servere med Evil-WinRM, indtil opdateringen er installeret. Brug ikke download-funktionen mod servere, du ikke fuldt ud kontrollerer.
  4. Gennemgå SSH-nøgler og shell-konfigurationsfiler på de maskiner, hvor Evil-WinRM har været brugt. Tjek ~/.ssh/authorized_keys og ~/.bashrc for ukendte ændringer.
  5. Dokumentér hvem der bruger værktøjet i jeres virksomhed, og sørg for at alle relevante medarbejdere er opdateret.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Evil-WinRM til den patchede version hurtigst muligt — det tager typisk under fem minutter. Selvom sårbarheden primært rammer IT-fagfolk frem for slutbrugere, kan konsekvenserne være meget alvorlige, fordi en kompromitteret maskine kan give adgang til hele jeres netværk. Kontakt Auroa, hvis du er usikker på, om I er berørt, eller ønsker hjælp til at gennemgå jeres klientmaskiner for tegn på udnyttelse.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-55201 offentliggøres i National Vulnerability Database (NVD) med en CVSS-score på 6,8 (Moderat).
17/06/2026
Rettelse frigivet
Udviklerne bag Evil-WinRM udgiver en rettelse i commit 6ecd570 på GitHub, som løser path traversal-problemet i download_dir()-funktionen.
17/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer om sårbarheden er offentligt tilgængelige i forbindelse med offentliggørelsen, hvilket gør det muligt for angribere at konstruere angreb baseret på den kendte angrebsvektor.

Konkrete eksempler

Ondsindet server indsætter SSH-bagdør

En IT-administrator bruger Evil-WinRM til at hente logfiler fra en ekstern Windows-server, der er kompromitteret af en angriber. Serveren returnerer et filnavn som ../../.ssh/authorized_keys i stedet for det rigtige filnavn. Evil-WinRM skriver filen uden for den valgte mappe og overskriver SSH-nøglefilen på administratorens laptop. Angriberen kan nu logge direkte ind på laptopen uden adgangskode.

Skadelig kode køres ved hvert login

Under en penetrationstest forbinder en sikkerhedskonsulent til en testserver, som i mellemtiden er overtaget af en tredjepart. Serveren sender et manipuleret filnavn, der peger på konsulentens ~/.bashrc-fil. Den overskrevne fil indeholder nu en kommando, der sender alle tastetryk til en ekstern adresse — og dette sker automatisk, hver gang konsulenten åbner en terminal.

Rettighedseskalering via konfigurationsfil

En angriber, der kontrollerer en intern Windows-server, udnytter Evil-WinRM-sårbarheden til at overskrive en systemkonfigurationsfil på en administrators maskine. Filen giver angriberen mulighed for at køre kommandoer med forhøjede rettigheder (sudo-adgang). Derfra kan angriberen bevæge sig videre til andre systemer i virksomhedens netværk.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

Evil-WinRM through 3.9, fixed in commit 6ecd570, contains a path traversal vulnerability in the download_dir() function that allows a rogue or compromised remote Windows server to write files outside the intended download directory by returning filenames with traversal sequences from Get-ChildItem command output that are passed unsanitized to File.join(). Attackers controlling the remote server can exploit this to overwrite sensitive client-side files such as SSH authorized_keys or shell configuration files, achieving persistent access or privilege escalation on the client machine.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-55201
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.