CVE-2026-38992
CriticalSummary
Cockpit w wersji 2.13.5 i wcześniejszych jest podatny na wykonanie dowolnego kodu poprzez parametr filter w wielu punktach końcowych. Ta podatność umożliwia atakującemu uruchamianie poleceń systemowych na infrastrukturze bazowej za pomocą operatora $func MongoLite.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do pełnej kompromitacji systemu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący może uzyskać dostęp do wrażliwych danych i zasobów systemowych.
Recommendation
Zaleca się aktualizację Cockpitu do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do punktów końcowych, które mogą być narażone na ataki.
Original NVD description (English source)
Cockpit v2.13.5 and earlier is vulnerable to arbitrary code execution via the filter parameter within multiple endpoints. This vulnerability allows an attacker to run system commands on the underlying infrastructure via the MongoLite $func operator.

