CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26009

Critical
Published: Translated: NVD NIST

Summary

CVE-2026-26009 dotyczy platformy Catalyst, która umożliwia hostowanie serwerów gier i integrację paneli rozliczeniowych. Skrypty instalacyjne w szablonach serwerów wykonują polecenia bezpośrednio na systemie operacyjnym jako root, co pozwala na zdalne wykonanie kodu na każdym węźle klastra przez użytkowników z odpowiednimi uprawnieniami.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ każdy użytkownik z uprawnieniami do tworzenia lub aktualizacji szablonów może uzyskać pełny dostęp do systemu, co może prowadzić do kompromitacji całej infrastruktury.

Recommendation

Zaleca się natychmiastowe zaktualizowanie systemu do wersji zawierającej poprawkę z commit 11980aaf3f46315b02777f325ba02c56b110165d oraz ograniczenie uprawnień użytkowników do tworzenia i aktualizacji szablonów.

Original NVD description (English source)

Catalyst is a platform built for enterprise game server hosts, game communities, and billing panel integrations. Install scripts defined in server templates execute directly on the host operating system as root via bash -c, with no sandboxing or containerization. Any user with template.create or template.update permission can define arbitrary shell commands that achieve full root-level remote code execution on every node machine in the cluster. This vulnerability is fixed in commit 11980aaf3f46315b02777f325ba02c56b110165d.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS