Katalog CVE

CVE-2026-10042

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

manga-image-translator zawiera podatność na zdalne wykonanie kodu w trybie serwera API z powodu niebezpiecznej deserializacji nieufnych danych pickle w module share.py. Punkty końcowe /execute/{method_name} i /simple_execute/{method_name} deserializują dane z kontrolowanych przez atakującego ciał żądań HTTP przy użyciu pickle.loads().

Ocena ryzyka

Zdalny atakujący może dostarczyć spreparowany ładunek pickle do tych punktów końcowych, co pozwala na wykonanie dowolnego kodu w procesie serwera, prowadząc do pełnego kompromitacji kontenera, gdy działa on w domyślnym wdrożeniu Docker jako root.

Rekomendacja

Zaleca się unikanie używania deserializacji danych pickle z niezaufanych źródeł oraz wdrożenie odpowiednich zabezpieczeń, aby ograniczyć dostęp do punktów końcowych API.

Oryginalny opis (angielski, źródło NVD)

manga-image-translator contains a remote code execution vulnerability in the shared API server mode due to unsafe deserialization of untrusted pickle data in the share.py module, where the /execute/{method_name} and /simple_execute/{method_name} endpoints deserialize attacker-controlled HTTP request bodies using pickle.loads(). A remote attacker can supply a crafted pickle payload to these endpoints to execute arbitrary code in the server process, resulting in full container compromise when running in the default Docker deployment as root.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS