CVE-2026-10042
KrytyczneStreszczenie
manga-image-translator zawiera podatność na zdalne wykonanie kodu w trybie serwera API z powodu niebezpiecznej deserializacji nieufnych danych pickle w module share.py. Punkty końcowe /execute/{method_name} i /simple_execute/{method_name} deserializują dane z kontrolowanych przez atakującego ciał żądań HTTP przy użyciu pickle.loads().
Ocena ryzyka
Zdalny atakujący może dostarczyć spreparowany ładunek pickle do tych punktów końcowych, co pozwala na wykonanie dowolnego kodu w procesie serwera, prowadząc do pełnego kompromitacji kontenera, gdy działa on w domyślnym wdrożeniu Docker jako root.
Rekomendacja
Zaleca się unikanie używania deserializacji danych pickle z niezaufanych źródeł oraz wdrożenie odpowiednich zabezpieczeń, aby ograniczyć dostęp do punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
manga-image-translator contains a remote code execution vulnerability in the shared API server mode due to unsafe deserialization of untrusted pickle data in the share.py module, where the /execute/{method_name} and /simple_execute/{method_name} endpoints deserialize attacker-controlled HTTP request bodies using pickle.loads(). A remote attacker can supply a crafted pickle payload to these endpoints to execute arbitrary code in the server process, resulting in full container compromise when running in the default Docker deployment as root.

