CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25873

Critical
Published: Translated: NVD NIST

Summary

OmniGen2-RL zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w komponencie serwera nagród, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń poprzez wysyłanie złośliwych żądań HTTP POST. Atakujący mogą wykorzystać niebezpieczną deserializację obiektów pickle w ciałach żądań, aby osiągnąć wykonanie kodu na systemie gospodarza uruchamiającym narażoną usługę.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne przejęcie kontroli nad systemem, co może prowadzić do utraty danych lub kompromitacji systemu. Wykorzystanie tej luki może skutkować poważnymi konsekwencjami finansowymi i reputacyjnymi.

Recommendation

Zaleca się natychmiastowe zaktualizowanie OmniGen2-RL do najnowszej wersji, która usuwa tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak filtrowanie i walidacja danych wejściowych oraz ograniczenie dostępu do serwera nagród.

Original NVD description (English source)

OmniGen2-RL contains an unauthenticated remote code execution vulnerability in the reward server component that allows remote attackers to execute arbitrary commands by sending malicious HTTP POST requests. Attackers can exploit insecure pickle deserialization of request bodies to achieve code execution on the host system running the exposed service.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS