Katalog CVE

CVE-2026-25855

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.34%

Percentyl 57 - wyżej niż 57% wszystkich znanych CVE

Streszczenie

OpenBullet2 w wersji do 0.3.2 zawiera podatność na zdalne wykonanie kodu, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych poleceń poprzez przesyłanie plików skryptów (.bat.ps1.sh) za pomocą funkcji ładowania proxy FileProxySource. Atakujący mogą przesyłać złośliwe pliki skryptów jako źródła proxy, co prowadzi do wykonania skryptów na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonanie dowolnych poleceń na hoście jako użytkownik procesu. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.

Rekomendacja

Zaleca się aktualizację OpenBullet2 do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do funkcji ładowania proxy tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

OpenBullet2 through version 0.3.2 contains a remote code execution vulnerability that allows authenticated users to execute arbitrary commands by uploading script files (.bat.ps1.sh) through the FileProxySource proxy loading feature. Attackers can upload malicious script files as proxy sources, causing the server to execute the scripts and return output as proxy lines, resulting in arbitrary command execution on the host as the process user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS