CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-24002

Critical
Published: Translated: NVD NIST

Summary

Grist to oprogramowanie arkusza kalkulacyjnego, które używa Pythona jako języka formuł. Istnieje luka, która pozwala na uruchamianie złośliwych dokumentów w piaskownicy, co może prowadzić do uruchamiania dowolnych procesów na serwerze Grist, jeśli użytkownik ustawi `GRIST_SANDBOX_FLAVOR` na `pyodide`.

Risk Assessment

Organizacja narażona jest na poważne ryzyko, ponieważ złośliwe dokumenty mogą prowadzić do nieautoryzowanego dostępu do systemu i potencjalnych strat danych.

Recommendation

Zaleca się aktualizację Grist do wersji 1.7.9 lub nowszej, aby załatać lukę, lub użycie piaskownicy opartej na gvisor, ustawiając `GRIST_SANDBOX_FLAVOR` na `gvisor`.

Original NVD description (English source)

Grist is spreadsheet software using Python as its formula language. Grist offers several methods for running those formulas in a sandbox, for cases where the user may be working with untrusted spreadsheets. One such method runs them in pyodide, but pyodide on node does not have a useful sandbox barrier. If a user of Grist sets `GRIST_SANDBOX_FLAVOR` to `pyodide` and opens a malicious document, that document could run arbitrary processes on the server hosting Grist. The problem has been addressed in Grist version 1.7.9 and up, by running pyodide under deno. As a workaround, a user can use the gvisor-based sandbox by setting `GRIST_SANDBOX_FLAVOR` to `gvisor`.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS