Katalog CVE

CVE-2026-22208

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenS100 przed commit 753cf29 zawiera podatność na zdalne wykonanie kodu poprzez nieograniczony interpreter Lua. Silnik Portrayal inicjalizuje Lua bez sandboxingu, co pozwala na dostęp do standardowych bibliotek z niezaufanych katalogów przedstawień.

Ocena ryzyka

Atakujący może dostarczyć złośliwy katalog przedstawień S-100, który zawiera skrypty Lua, wykonujące dowolne polecenia z uprawnieniami procesu OpenS100. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się aktualizację OpenS100 do wersji zawierającej poprawki zabezpieczeń oraz ograniczenie dostępu do katalogów przedstawień tylko do zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

OpenS100 (the reference implementation S-100 viewer) prior to commit 753cf29 contains a remote code execution vulnerability via an unrestricted Lua interpreter. The Portrayal Engine initializes Lua using luaL_openlibs() without sandboxing or capability restrictions, exposing standard libraries such as 'os' and 'io' to untrusted portrayal catalogues. An attacker can provide a malicious S-100 portrayal catalogue containing Lua scripts that execute arbitrary commands with the privileges of the OpenS100 process when a user imports the catalogue and loads a chart.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS